Oversigt (indholdsfortegnelse)
Den fulde tekst

Fremsat den 9. december 1999 af justitsministeren (Frank Jensen)

Forslag

til

Lov om behandling af personoplysninger1)

 

Afsnit I

Indledende bestemmelser

Kapitel 1

Lovens område

§ 1. Loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

    Stk. 2. Loven gælder tillige for anden ikke- elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 og 9.

    Stk. 3. Loven gælder endvidere for behandling af oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling udføres for kreditoplysningsbureauer. Tilsvarende gælder for så vidt angår behandlinger, som er omfattet af § 50, stk. 1, nr. 2.

    Stk. 4. Kapitel 5 gælder også for behandling af oplysninger om virksomheder m.v. , jf. stk. 1.

    Stk. 5. Uden for de i stk. 3 nævnte tilfælde kan justitsministeren bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for private.

    Stk. 6. Uden for de i stk. 4 nævnte tilfælde kan vedkommende minister bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for den offentlige forvaltning.

§ 2. Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov.

    Stk. 2. Loven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10.

    Stk. 3. Loven gælder ikke for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter.

    Stk. 4. Bestemmelserne i lovens kapitel 8-9 og §§ 35-37 og § 39 finder ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Bestemmelserne i lovens kapitel 8 og §§ 35-37 og § 39 finder heller ikke anvendelse på behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område.

    Stk. 5. Loven finder ikke anvendelse på behandling af oplysninger, der foretages for Folketinget og institutioner med tilknytning dertil.

    Stk. 6. Loven finder ikke anvendelse på behandlinger, der er omfattet af lov om massemediers informationsdatabaser.

    Stk. 7. Loven finder ikke anvendelse på informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvarslovens § 1, nr. 1 eller 2, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens §§ 41-42 og § 69.

    Stk. 8. Loven gælder endvidere ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte tekster, billeder og lydprogrammer, der omfattes af medieansvarslovens § 1, nr. 3, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens §§ 41-42 og § 69.

    Stk. 9. Loven finder ikke anvendelse på manuelle arkiver over udklip fra offentliggjorte, trykte artikler, som udelukkende behandles i journalistisk øjemed. Dog gælder bestemmelserne i lovens §§ 41-42 og § 69.

    Stk. 10. For behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed, gælder alene bestemmelserne i lovens §§ 41-42 og § 69. Det samme gælder for behandling af oplysninger, som udelukkende sker med henblik på kunstnerisk eller litterær virksomhed.

    Stk. 11. Loven gælder ikke for behandlinger, der udføres for politiets og forsvarets efterretningstjenester.

Kapitel 2

Definitioner

§ 3. I denne lov forstås ved:

1) Personoplysninger:
Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

2) Behandling:
Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.

3) Register med personoplysninger (register):
Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.

4) Den dataansvarlige:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

5) Databehandleren:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.

6) Tredjemand:
Enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger.

7) Modtager:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand. Myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere.

8) Den registreredes samtykke:
Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

9) Tredjeland:
En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Kapitel 3

Lovens geografiske område

§ 4. Loven gælder for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område.

    Stk. 2. Loven gælder endvidere for den behandling, som udføres for danske diplomatiske repræsentationer.

    Stk. 3. Loven gælder også for en dataansvarlig, som er etableret i et tredjeland, hvis

1) behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område, eller

2) indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland.

    Stk. 4. Dataansvarlige, som i henhold til stk. 3, nr. 1, er omfattet af denne lov, skal udpege en repræsentant, som er etableret i Danmark. Den registreredes mulighed for at foretage retslige skridt mod vedkommende dataansvarlige berøres ikke heraf.

    Stk. 5. Den dataansvarlige skal skriftligt underrette Datatilsynet om, hvem der er udpeget som repræsentant, jf. stk. 4.

    Stk. 6. Loven gælder, hvis der for en dataansvarlig, der er etableret i et andet medlemsland, behandles oplysninger i Danmark, og behandlingen ikke er omfattet af direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Loven gælder også, hvis der for en dataansvarlig, der er etableret i en stat, som har gennemført en aftale med Det Europæiske Fællesskab, der indeholder regler svarende til det i 1. pkt. nævnte direktiv, behandles oplysninger i Danmark, og behandlingen ikke er omfattet af de nævnte regler.

Afsnit II

Behandlingsregler

Kapitel 4

Behandling af oplysninger

§ 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

    Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

    Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

    Stk. 4. Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

    Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

§ 6. Behandling af oplysninger må kun finde sted, hvis

1) den registrerede har givet sit udtrykkelige samtykke hertil,

2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale,

3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige,

4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser,

5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,

6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller

7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.

    Stk. 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 a.

    Stk. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, nr. 7, er opfyldt.

    Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i §§ 7-8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3.

§ 7. Der må ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.

    Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis

1) den registrerede har givet sit udtrykkelige samtykke til en sådan behandling,

2) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke,

3) behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede, eller

4) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

    Stk. 3. Behandling af oplysninger om fagforeningsmæssige tilhørsforhold kan endvidere ske, hvis behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder.

    Stk. 4. En stiftelse, en forening eller en anden almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, kan inden for rammerne af sin virksomhed foretage behandling af de i stk. 1 nævnte oplysninger om organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne. Videregivelse af sådanne oplysninger kan dog kun finde sted, hvis den registrerede har meddelt sit udtrykkelige samtykke hertil, eller behandlingen er omfattet af stk. 2, nr. 2-4, eller stk. 3.

    Stk. 5. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.

    Stk. 6. Behandling af de i stk. 1 anførte oplysninger kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område.

    Stk. 7. Undtagelse fra bestemmelsen i stk. 1 kan endvidere gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes nærmere vilkår for behandlingen. Hvor tilladelse meddeles, giver tilsynsmyndigheden underretning herom til Europa-Kommissionen.

    Stk. 8. For den offentlige forvaltning må der ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige.

§ 8. For den offentlige forvaltning må der ikke behandles oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver.

    Stk. 2. De i stk. 1 nævnte oplysninger må ikke videregives. Videregivelse kan dog ske, hvis

1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen,

2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,

3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller

4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

    Stk. 3. Forvaltningsmyndigheder, der udfører opgaver inden for det sociale område, må kun videregive de i stk. 1 nævnte oplysninger og de oplysninger, der er nævnt i § 7, stk. 1, hvis betingelserne i stk. 2, nr. 1 eller 2, er opfyldt, eller hvis videregivelsen er et nødvendigt led i sagens behandling eller nødvendig for, at en myndighed kan gennemføre tilsyns- eller kontrolopgaver.

    Stk. 4. Private må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede.

    Stk. 5. De i stk. 4 nævnte oplysninger må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

    Stk. 6. Et fuldstændigt register over straffedomme må kun føres for en offentlig myndighed.

§ 9. Oplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne.

    Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages med henblik på at føre retsinformationssystemer, jf. § 6.

    Stk. 3. Tilsynsmyndigheden kan meddele nærmere vilkår for de i stk. 1 nævnte behandlinger. Tilsvarende gælder for de i § 6 nævnte oplysninger, som alene behandles i forbindelse med førelsen af retsinformationssystemer.

§ 10. Oplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.

    Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed, jf. § 6.

    Stk. 3. De af stk. 1 og 2 omfattede oplysninger må kun videregives til tredjemand efter forudgående tilladelse fra tilsynsmyndigheden. Tilsynsmyndigheden kan stille nærmere vilkår for videregivelsen.

§ 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

    Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lov eller bestemmelser fastsat i henhold til lov,

2) den registrerede har givet sit udtrykkelige samtykke hertil, eller

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede, eller videregivelsen kræves af en offentlig myndighed.

    Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.

§ 12. Dataansvarlige, der med henblik på markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle

1) oplysninger om navn, adresse, stilling, erhverv, e-postadresse, telefon- og telefaxnummer,

2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, samt

3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil. Et samtykke skal indhentes i overensstemmelse med markedsføringslovens § 6 a.

    Stk. 2. Oplysninger som nævnt i § 7, stk. 1, eller § 8, må dog ikke behandles. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at behandle bestemte typer af oplysninger.

§ 13. Offentlige myndigheder og private virksomheder m.v. må ikke foretage automatisk registrering af, hvilke telefonnumre der er foretaget opkald til fra deres telefoner. Registrering må dog ske efter forudgående tilladelse fra tilsynsmyndigheden i tilfælde, hvor afgørende hensyn til private eller offentlige interesser taler herfor. Tilsynsmyndigheden kan fastsætte nærmere vilkår for registreringen.

    Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis andet følger af lov eller for så vidt angår udbydere af telenet og teletjenesters registrering af, til hvilke telefonnumre der er foretaget opkald, enten til eget brug eller til brug ved teknisk kontrol.

§ 14. Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Kapitel 5

Videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige

§ 15. Oplysninger om gæld til det offentlige kan efter bestemmelserne i dette kapitel videregives til kreditoplysningsbureauer.

    Stk. 2. Oplysninger som nævnt i § 7, stk. 1, eller § 8, stk. 1, må ikke videregives.

    Stk. 3. Fortrolige oplysninger videregivet efter reglerne i dette kapitel anses ikke af den grund for offentligt tilgængelige i øvrigt.

§ 16. Oplysninger om gæld til det offentlige kan videregives til et kreditoplysningsbureau, hvis

1) det følger af lov eller bestemmelser fastsat i henhold til lov, eller

2) den samlede gæld er forfalden og overstiger 7.500 kr., idet der dog ikke heri må indgå gældsposter, der er omfattet af en overholdt aftale om henstand eller afdragsvis betaling.

    Stk. 2. Det er en betingelse, at den samlede gæld, jf. stk. 1, nr. 2, administreres af samme inddrivelsesmyndighed.

    Stk. 3. Det er endvidere en betingelse for videregivelse efter stk. 1, nr. 2, at

1) gælden kan inddrives ved udpantning, og der er fremsendt 2 rykkere til skyldneren,

2) der er foretaget eller forsøgt foretaget udlæg for kravet,

3) kravet er fastslået ved endelig dom, eller

4) det offentlige har erhvervet skyldnerens skriftlige erkendelse af den forfaldne gæld.

§ 17. Myndigheden skal give skyldneren skriftlig meddelelse herom, forinden videregivelse finder sted. Videregivelse må tidligst ske 4 uger efter, at denne meddelelse er givet.

    Stk. 2. Den i stk. 1 nævnte meddelelse skal indeholde oplysninger om,

1) hvilke oplysninger der vil blive videregivet,

2) til hvilket kreditoplysningsbureau videregivelsen vil ske,

3) hvornår videregivelse vil finde sted, og

4) at videregivelse ikke vil ske, hvis betaling af gælden sker inden videregivelsen, eller der indrømmes henstand eller indgås og overholdes en aftale om afdragsvis betaling.

§ 18. Vedkommende minister kan fastsætte nærmere regler om fremgangsmåden ved videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige. Det kan i den forbindelse bestemmes, at oplysninger om visse former for gæld til det offentlige ikke må videregives eller kun må videregives, hvis yderligere betingelser end de i § 16 nævnte er opfyldt.

Kapitel 6

Kreditoplysningsbureauer

§ 19. Den, som ønsker at drive virksomhed med behandling af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik på videregivelse (kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet, inden behandlingen påbegyndes, jf. § 50, stk. 1, nr. 3.

§ 20. Kreditoplysningsbureauer må kun behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed.

    Stk. 2. Oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4, må ikke behandles.

    Stk. 3. Oplysninger om forhold, der taler imod kreditværdighed, og som er mere end 5 år gamle, må ikke behandles, medmindre det i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen af den pågældendes økonomiske soliditet og kreditværdighed.

§ 21. Kreditoplysningsbureauer skal i overensstemmelse med § 28, stk. 1, eller § 29, stk. 1, meddele de oplysninger, der er nævnt i disse bestemmelser, til den, der behandles oplysninger om.

§ 22. Kreditoplysningsbureauer skal til enhver tid på begæring af den registrerede inden 4 uger på en let forståelig måde meddele denne indholdet af de oplysninger og bedømmelser, som bureauet har videregivet om den pågældende inden for de sidste 6 måneder, samt af de øvrige oplysninger, som bureauet på tidspunktet for begæringens fremsættelse opbevarer om den pågældende i bearbejdet form eller på digitalt medium, herunder foreliggende bedømmelser.

    Stk. 2. Er bureauet i besiddelse af yderligere materiale om den registrerede, skal dette samtidig meddeles den pågældende med oplysning om materialets art samt om, at den registrerede kan få adgang til at gennemgå det ved personlig henvendelse til bureauet.

    Stk. 3. Bureauer skal endvidere give oplysning om kategorien af modtagere af oplysningerne samt tilgængelig information om, hvorfra de i stk. 1 og 2 nævnte oplysninger stammer.

    Stk. 4. Den registrerede kan forlange, at bureauet giver meddelelse som nævnt i stk. 1-3 skriftligt. Justitsministeren fastsætter regler om betaling for skriftlige meddelelser.

§ 23. Oplysninger om økonomisk soliditet og kreditværdighed må kun meddeles skriftligt, jf. dog § 22, stk. 1-3. Bureauet kan dog til abonnenter meddele summariske oplysninger mundtligt eller på lignende måde, såfremt spørgerens navn og adresse noteres og opbevares i mindst 6 måneder.

    Stk. 2. Kreditoplysningsbureauers publikationer må kun indeholde oplysninger i summarisk form og kun udsendes til personer eller virksomheder, der abonnerer på meddelelser fra bureauet. Publikationerne må ikke indeholde oplysninger om de registreredes personnummer.

    Stk. 3. Summariske oplysninger om skyldforhold må kun videregives, hvis oplysningerne hidrører fra Statstidende, er indberettet af en offentlig myndighed efter reglerne i kapitel 5, eller hvis oplysningerne vedrører skyldforhold til samme kreditor på mere end 1.000 kr., og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld, eller hvis der er foretaget retslige skridt mod den pågældende. Oplysninger om endeligt godkendt gældssanering må dog ikke videregives. De i 1. og 2. pkt. nævnte regler gælder tillige for videregivelse af summariske oplysninger om skyldforhold i forbindelse med udarbejdelse af bredere kreditbedømmelser.

    Stk. 4. Videregivelse af summariske oplysninger om enkeltpersoners skyldforhold må kun ske på en sådan måde, at oplysningerne ikke kan danne grundlag for vurderingen af økonomisk soliditet og kreditværdighed for andre end de pågældende enkeltpersoner.

§ 24. Oplysninger eller bedømmelser, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

§ 25. Er en oplysning eller bedømmelse, der viser sig urigtig eller vildledende, forinden blevet videregivet, skal bureauet straks give skriftlig underretning om berigtigelsen til den registrerede og til alle, der har modtaget oplysningen eller bedømmelsen inden for de sidste 6 måneder, før bureauet er blevet bekendt med forholdet. Den registrerede skal tillige have meddelelse om, hvem der har modtaget underretning efter 1. pkt., og hvorfra oplysningen eller bedømmelsen stammer.

§ 26. Henvendelser fra en registreret om sletning, berigtigelse eller blokering af oplysninger eller bedømmelser, der angives at være urigtige eller vildledende, eller om sletning af oplysninger, der ikke må behandles, jf. § 37, stk. 1, skal snarest og inden 4 uger efter modtagelsen besvares skriftligt af bureauet.

    Stk. 2. Nægter bureauet at foretage den begærede sletning, berigtigelse eller blokering, kan den registrerede inden 4 uger efter modtagelsen af bureauets svar eller efter udløbet af den i stk. 1 nævnte svarfrist indbringe spørgsmålet for Datatilsynet, der træffer afgørelse om, hvorvidt der skal foretages sletning, berigtigelse eller blokering. Bestemmelsen i § 25 gælder tilsvarende.

    Stk. 3. Bureauets svar skal i de i stk. 2 nævnte tilfælde indeholde oplysning om adgangen til at indbringe spørgsmålet for Datatilsynet og om fristen herfor.

Kapitel 7

Overførsel af oplysninger til tredjelande

§ 27. Der må kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3.

    Stk. 2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet.

    Stk. 3. Udover de i stk. 1 nævnte tilfælde kan der overføres oplysninger til et tredjeland, såfremt

1) den registrerede har givet udtrykkeligt samtykke,

2) overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale,

3) overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand,

4) overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares,

5) overførsel er nødvendig for at beskytte den registreredes vitale interesser,

6) overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde,

7) overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig forfølgning, eller

8) overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed.

    Stk. 4. Uden for de i stk. 3 nævnte tilfælde kan tilsynsmyndigheden give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen. Tilsynsmyndigheden underretter Europa-Kommissionen og de øvrige medlemsstater om tilladelser meddelt i henhold til denne bestemmelse.

    Stk. 5. Reglerne i denne lov finder i øvrigt anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1, 3 og 4.

Afsnit III

Registreredes rettigheder

Kapitel 8

Oplysningspligt over for den registrerede

§ 28. Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Kategorierne af modtagere.

b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

    Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger.

§ 29. Hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Hvilken type oplysninger det drejer sig om.

b) Kategorierne af modtagere.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

    Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov.

    Stk. 3. Bestemmelsen i stk. 1 gælder heller ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 30. Bestemmelserne i §§ 28, stk. 1, og 29, stk. 1, gælder ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

    Stk. 2. Undtagelse fra bestemmelserne i §§ 28, stk. 1, og 29, stk. 1, kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv,

5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og

6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder.

Kapitel 9

Den registreredes indsigtsret

§ 31. Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om

1) hvilke oplysninger der behandles,

2) behandlingens formål,

3) kategorierne af modtagere af oplysningerne, og

4) tilgængelig information om, hvorfra disse oplysninger stammer.

    Stk. 2. Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om hvornår afgørelsen kan forventes at foreligge.

§ 32. Bestemmelserne i § 30 finder tilsvarende anvendelse.

    Stk. 2. Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra indsigtsretten i samme omfang som efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og 14.

    Stk. 3. Der er ikke ret til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne indgår i tekst, som ikke foreligger i endelig form. Dette gælder dog ikke, hvis oplysningerne er videregivet til en tredjemand. Der er ikke ret til indsigt i voteringsprotokoller og andre referater af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for rådslagningen.

    Stk. 4. Bestemmelsen i § 31, stk. 1, finder ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller hvor oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.

    Stk. 5. For behandling af oplysninger på det strafferetlige område, der foretages for den offentlige forvaltning, kan justitsministeren fastsætte undtagelser fra retten til at få oplysninger efter § 31, stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås.

§ 33. En registreret person, der har fået meddelelse efter § 31, stk. 1, har ikke krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

§ 34. Meddelelser i henhold til § 31, stk. 1, skal på begæring gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig underretning om indholdet af oplysningerne.

    Stk. 2. Justitsministeren kan fastsætte regler om betaling for meddelelser, som gives skriftligt af private virksomheder m.v.

Kapitel 10

Øvrige rettigheder

§ 35. Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.

    Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.

§ 36. Fremsætter en forbruger indsigelse herimod, må en virksomhed ikke videregive oplysninger om den pågældende til en anden virksomhed med henblik på markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed.

    Stk. 2. Inden virksomheden videregiver oplysninger om en forbruger til en anden virksomhed med henblik på markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. Inden oplysninger om en forbruger, der ikke i CPR har frabedt sig sådanne henvendelser, videregives eller anvendes som nævnt i 1. pkt., skal virksomheden tydeligt og på en forståelig måde oplyse om retten til at gøre indsigelse efter stk. 1. Forbrugeren skal samtidig gives adgang til på en nem måde inden for to uger at gøre sådan indsigelse. Oplysningerne må ikke videregives, inden fristen til at gøre indsigelse er udløbet.

    Stk. 3. Er virksomheden alene bekendt med forbrugerens e-post adresse, finder bestemmelsen i stk. 2, 2.-4. pkt., tilsvarende anvendelse.

    Stk. 4. Henvendelse til forbrugeren efter stk. 2 og 3 skal i øvrigt ske i overensstemmelse med reglerne i markedsføringslovens § 6 a og regler udstedt i medfør af markedsføringslovens § 6 a, stk. 7.

    Stk. 5. Virksomheden kan ikke kræve betaling for behandlingen af en indsigelse.

§ 37. Den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

    Stk. 2. Den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 38. Den registrerede kan tilbagekalde et samtykke.

§ 39. Fremsætter en registreret person indsigelse herimod, kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold.

    Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis

1) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en aftale, såfremt den registreredes anmodning om indgåelse eller opfyldelse af aftalen er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser, eller

2) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser.

    Stk. 3. Den registrerede har ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en afgørelse som nævnt i stk. 1. § 30 finder tilsvarende anvendelse.

§ 40. Den registrerede kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den pågældende.

 

Afsnit IV

Sikkerhed

Kapitel 11

Behandlingssikkerhed

§ 41. Personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.

    Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt.

    Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

    Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

    Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger.

§ 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

    Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

Afsnit V

Anmeldelse

Kapitel 12

Anmeldelse af behandlinger, der foretages for den offentlige forvaltning

§ 43. Forinden iværksættelse af en behandling af oplysninger, som foretages for den offentlige forvaltning, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog § 44. Den dataansvarlige kan bemyndige andre myndigheder eller private til at foretage anmeldelse på dennes vegne.

    Stk. 2. Anmeldelsen skal indeholde oplysninger om følgende:

1) Navn og adresse på den dataansvarlige, dennes eventuelle repræsentant og på en eventuel databehandler.

2) Behandlingens betegnelse og formål.

3) En generel beskrivelse af behandlingen.

4) En beskrivelse af kategorierne af registrerede og af de typer af oplysninger, der vedrører dem.

5) Modtagere eller kategorier af modtagere, som oplysningerne kan overføres til.

6) Påtænkte overførsler af oplysninger til tredjelande.

7) En generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden.

8) Tidspunktet for påbegyndelsen af behandlingen.

9) Tidspunktet for sletning af oplysningerne.

§ 44. Behandling, som ikke omfatter oplysninger af fortrolig karakter, er undtaget fra reglerne i § 43, jf. dog stk. 2. En sådan behandling kan uden anmeldelse endvidere omfatte identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed, medmindre der er tale om en behandling som nævnt i § 45, stk. 1.

    Stk. 2. Justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger.

    Stk. 3. Behandlinger, hvis eneste formål er at føre et register, der i henhold til lov eller regler udstedt i medfør af lov er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden, er ligeledes undtaget fra reglerne i § 43.

    Stk. 4. Justitsministeren kan fastsætte regler om, at bestemte typer af behandlinger af oplysninger undtages fra bestemmelsen i § 43. Det gælder dog ikke behandlinger som nævnt i § 45, stk. 1.

§ 45. Forinden behandling, som er omfattet af anmeldelsespligten i § 43, iværksættes, skal Datatilsynets udtalelse indhentes, når

1) behandlingen omfatter oplysninger, der er omfattet af § 7, stk. 1, og § 8, stk. 1,

2) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer,

3) behandlingen udelukkende finder sted i videnskabeligt eller statistisk øjemed, eller

4) behandlingen omfatter sammenstilling eller samkøring af oplysninger i kontroløjemed.

    Stk. 2. Justitsministeren kan fastsætte regler om, at tilsynets udtalelse skal indhentes inden iværksættelsen af andre end de i stk. 1 nævnte behandlinger.

§ 46. Ændringer i de i § 43, stk. 2, nævnte oplysninger skal forud for iværksættelsen anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.

    Stk. 2. Forinden iværksættelse af ændringer i de i § 43, stk. 2, nævnte oplysninger i anmeldelser af behandlinger, som er omfattet af § 45, stk. 1 eller 2, skal tilsynets udtalelse indhentes. Ændringer af mindre væsentlig betydning skal alene anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.

§ 47. I tilfælde, hvor dataansvaret er henlagt til en underordnet myndighed, og tilsynet ikke kan tiltræde udførelsen af en behandling, forelægges sagen for vedkommende minister, der træffer afgørelse i sagen.

    Stk. 2. Kan tilsynet ikke tiltræde udførelsen af en behandling, som foretages for en kommunal myndighed, forelægges sagen for indenrigsministeren, der træffer afgørelse i sagen.

Kapitel 13

Anmeldelse af behandlinger, der foretages for en privat dataansvarlig

§ 48. Forinden iværksættelse af en behandling af oplysninger, som foretages for en privat dataansvarlig, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog § 49.

    Stk. 2. Anmeldelsen skal indeholde de oplysninger, som fremgår af § 43, stk. 2.

§ 49. Behandling af oplysninger er, bortset fra de i § 50, stk. 2, angivne tilfælde, undtaget fra reglerne i § 48, når

1) behandlingen omfatter oplysninger om ansatte i det omfang, behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

2) behandlingen omfatter oplysninger om ansattes helbredsforhold i det omfang, behandlingen af helbredsoplysningerne er nødvendig til opfyldelse af bestemmelser i lov eller forskrifter fastsat i henhold til lov,

3) behandlingen omfatter oplysninger om ansatte, hvis registrering er nødvendig som følge af kollektiv overenskomst eller kollektiv aftale på arbejdsmarkedet,

4) behandlingen omfatter oplysninger om kunder, leverandører eller andre forretningsforbindelser i det omfang, behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4, eller i det omfang, der ikke er tale om behandlinger som omtalt i § 50, stk. 1, nr. 4,

5) behandlingen foretages med henblik på udførelsen af markedsundersøgelser i det omfang, behandlingen ikke omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

6) behandlingen foretages af en forening eller lignende i det omfang, der alene behandles oplysninger om foreningens medlemmer,

7) behandlingen foretages af advokater eller revisorer som led i deres virksomhed i det omfang, der alene behandles oplysninger vedrørende klientforhold,

8) behandlingen foretages af læger, sygeplejersker, tandlæger, kliniske tandteknikere, apotekere, terapiassistenter, kiropraktorer og lignende personer med autorisation til at udøve virksomhed inden for sundheds- og sygeplejen i det omfang, oplysningerne alene anvendes til brug ved denne virksomhed, og behandlingen af oplysningerne ikke sker for et privat sygehus, eller

9) behandlingen foretages til brug ved en bedriftssundhedstjeneste.

    Stk. 2. Justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger.

    Stk. 3. Justitsministeren kan fastsætte regler om, at andre typer af behandlinger undtages fra bestemmelsen i § 48. Det gælder dog ikke behandlinger, der er omfattet af § 50, stk. 1, medmindre behandlingerne undtages efter § 50, stk. 3.

§ 50. Forinden iværksættelse af en behandling, som er omfattet af anmeldelsespligten i § 48, skal Datatilsynets tilladelse indhentes, når

1) behandlingen omfatter oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4,

2) behandlingen af oplysningerne sker med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret,

3) behandlingen sker med henblik på erhvervsmæssig videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed,

4) behandlingen sker med henblik på erhvervsmæssig bistand ved stillingsbesættelse, eller

5) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer.

    Stk. 2. Ved overførsel af oplysninger som nævnt i stk. 1 til tredjelande i medfør af § 27, stk. 1, og stk. 3, nr. 2-4, skal Datatilsynets tilladelse indhentes til overførslen, uanset at behandlingen i øvrigt er undtaget fra anmeldelse i medfør af § 49, stk. 1.

    Stk. 3. Justitsministeren kan fastsætte undtagelser fra bestemmelserne i stk. 1, nr. 1, og stk. 2.

    Stk. 4. Justitsministeren kan fastsætte regler om, at der forinden iværksættelse af andre anmeldelsespligtige behandlinger end de i stk. 1 eller 2 nævnte skal indhentes tilladelse fra tilsynet.

    Stk. 5. Tilsynet kan i forbindelse med meddelelse af tilladelse efter stk. 1, 2 eller 4 fastsætte nærmere vilkår for udførelsen af behandlingerne til beskyttelse af de registreredes privatliv.

§ 51. Ændringer i de i § 48, stk. 2, jf. § 43, stk. 2, nævnte oplysninger skal forud for iværksættelsen anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.

    Stk. 2. Forinden iværksættelse af ændringer i de i § 48, stk. 2, jf. § 43, stk. 2, nævnte oplysninger i anmeldelser af behandlinger, som er omfattet af § 50, stk. 1, 2 eller 4, skal Datatilsynets tilladelse indhentes. Ændringer af mindre væsentlig betydning skal alene anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.

Kapitel 14

Anmeldelse af behandlinger, der foretages for domstolene

§ 52. Reglerne i §§ 43-46 gælder for anmeldelse til Domstolsstyrelsen af behandling af oplysninger, der foretages for domstolene.

Kapitel 15

Øvrige bestemmelser

§ 53. Databehandlere, der er etableret i Danmark, og som udøver edb-servicevirksomhed, skal forinden påbegyndelsen af behandlingen foretage anmeldelse til Datatilsynet.

§ 54. Tilsynsmyndigheden skal føre en fortegnelse over de behandlinger, der er anmeldt efter §§ 43, 48 og 52. Fortegnelsen, som mindst skal indeholde de oplysninger, som er anført i § 43, stk. 2, skal være tilgængelig for offentligheden.

    Stk. 2. En dataansvarlig skal stille de i § 43, stk. 2, nr. 1, 2, og 4-6, nævnte oplysninger om alle de behandlinger, som udføres for vedkommende, til rådighed for enhver, som anmoder derom.

    Stk. 3. Offentlighedens adgang til indsigt i den fortegnelse, der er nævnt i stk. 1, og de oplysninger, der er nævnt i stk. 2, kan begrænses, i det omfang det er nødvendigt til forebyggelse, opklaring og forfølgning af lovovertrædelser, eller afgørende hensyn til private interesser gør det påkrævet.

Afsnit VI

Tilsyn og afsluttende bestemmelser

Kapitel 16

Datatilsynet

§ 55. Datatilsynet, der består af et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af loven, jf. dog kapitel 17.

    Stk. 2. Tilsynets daglige forretninger varetages af sekretariatet, der ledes af en direktør.

    Stk. 3. Rådet, der nedsættes af justitsministeren, består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udnævnes stedfortrædere for medlemmerne. Medlemmerne og stedfortræderne for disse udnævnes for 4 år.

    Stk. 4. Rådet fastsætter sin forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat.

§ 56. Datatilsynet udøver sine funktioner i fuld uafhængighed.

§ 57. Ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, skal der indhentes en udtalelse fra Datatilsynet.

§ 58. Datatilsynet påser af egen drift eller efter klage fra en registreret, at behandlingen finder sted i overensstemmelse med loven og regler udstedt i medfør af loven.

    Stk. 2. Tilsynet kan til enhver tid tilbagekalde en afgørelse truffet i henhold til § 27, stk. 4, eller § 50, stk. 2, jf. § 27, stk. 1, eller stk. 3, nr. 2-4, såfremt Europa-Kommissionen træffer afgørelse om, at der ikke må ske overførsel af oplysninger til bestemte tredjelande, eller om at der lovligt kan ske en sådan overførsel. Dette gælder dog kun, såfremt tilbagekaldelsen er nødvendig for at efterleve Kommissionens afgørelse.

§ 59. Datatilsynet kan påbyde en privat dataansvarlig at ophøre med en behandling, der ikke må finde sted efter denne lov, og at berigtige, slette eller blokere bestemte oplysninger, som er omfattet af en sådan behandling.

    Stk. 2. Tilsynet kan forbyde en privat dataansvarlig at anvende en nærmere angiven fremgangsmåde i forbindelse med behandlingen af oplysninger, hvis tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko for, at der behandles oplysninger i strid med loven.

    Stk. 3. Tilsynet kan påbyde en privat dataansvarlig at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

    Stk. 4. Tilsynet kan i særlige tilfælde meddele databehandlere påbud eller forbud, jf. stk. 1-3.

§ 60. Datatilsynet træffer over for vedkommende myndighed afgørelse i sager vedrørende § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, §§ 28-31, § 32, stk. 1, 2 og 4, §§ 33-37, § 39 samt § 58, stk. 2.

    Stk. 2. I andre tilfælde afgiver tilsynet udtalelser over for den dataansvarlige myndighed.

§ 61. Datatilsynets afgørelser efter denne lov kan ikke indbringes for anden administrativ myndighed.

§ 62. Datatilsynet kan kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.

    Stk. 2. Tilsynets medlemmer og personale har til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes.

    Stk. 3. Bestemmelsen i stk. 2 gælder tilsvarende for behandlinger, som foretages for private dataansvarlige i det omfang, behandlingen er omfattet af § 50.

    Stk. 4. Bestemmelsen i stk. 2 gælder også for så vidt angår den behandling, der udføres af databehandlere som nævnt i § 53.

§ 63. Datatilsynet kan bestemme, at anmeldelser og ansøgninger om tilladelse efter denne lov og ændringer heri kan eller skal indgives på nærmere angiven måde.

    Stk. 2. For indgivelse af følgende anmeldelser og ansøgninger om tilladelser i henhold til denne lov betales 1.000 kr.:

1) Anmeldelse i henhold til § 48.

2) Tilladelse i henhold til § 50.

3) Anmeldelse i henhold til § 53.

    Stk. 3. En anmeldelse som nævnt i stk. 2, nr. 1 og 2, anses først for indgivet, når betaling er sket. Datatilsynet kan bestemme, at en tilladelse som nævnt i stk. 2, nr. 3, ikke meddeles, før betaling er sket.

    Stk. 4. Bestemmelserne i stk. 2, nr. 1 og 2, gælder ikke for behandlinger, der udelukkende finder sted i videnskabeligt eller statistisk øjemed.

    Stk. 5. Såfremt en behandling både skal anmeldes efter § 48 og tillades efter § 50, betales kun ét gebyr.

§ 64. Datatilsynet kan af egen drift eller efter anmodning fra en anden medlemsstat påse, at en behandling af oplysninger, som finder sted i Danmark, er lovlig, uanset at den pågældende behandling er undergivet en anden medlemsstats lovgivning. Bestemmelserne i §§ 59 og 62 finder tilsvarende anvendelse.

    Stk. 2. Datatilsynet kan videregive oplysninger til tilsynsmyndigheder i andre medlemsstater i det omfang, det er nødvendigt for at påse overholdelsen af bestemmelserne i denne lov eller af den pågældende medlemsstats databeskyttelseslovgivning.

§ 65. Datatilsynet afgiver en årlig beretning om sin virksomhed til Folketinget. Beretningen offentliggøres. Tilsynet kan i øvrigt offentliggøre sine udtalelser. Bestemmelsen i § 30 finder tilsvarende anvendelse.

§ 66. Datatilsynet og Domstolsstyrelsen samarbejder i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger.

Kapitel 17

Tilsyn med domstolene

§ 67. Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene.

    Stk. 2. Tilsynet omfatter behandling af oplysninger med hensyn til domstolenes administrative forhold.

    Stk. 3. For anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den i 1. pkt. nævnte afgørelse kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende.

§ 68. For Domstolsstyrelsens udøvelse af tilsyn i henhold til § 67 gælder bestemmelserne i §§ 56, 58, 62, stk. 1, 2 og 4, 63, stk. 1, og 66. Domstolsstyrelsens afgørelser er endelige.

    Stk. 2. Ved udarbejdelse af bekendtgørelser eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, der foretages for domstolene, skal der indhentes en udtalelse fra Domstolsstyrelsen.

    Stk. 3. Domstolsstyrelsen offentliggør en årlig beretning om dens virksomhed.

Kapitel 18

Erstatnings- og strafansvar

§ 69. Den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

§ 70. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som udføres for private,

1) overtræder § 4, stk. 5, § 5, stk. 2-5, § 6, § 7, stk. 1, § 8, stk. 4-6, § 9, stk. 2, § 10, stk. 2 og 3, 1. pkt., § 11, stk. 2 og 3, § 12, stk. 1 og stk. 2, 1. pkt., § 13, stk. 1, 1. pkt., §§ 20-25, § 26, stk. 1, stk. 2, 2. pkt. og stk. 3, § 27, stk. 1, § 28, stk. 1, § 29, stk. 1, § 31, §§ 33 og 34, § 35, stk. 2, §§ 36-37, § 39, stk. 1 og 3, § 41, stk. 1 og 3, § 42, § 48, § 50, stk. 1 og 2, § 51, § 53 eller § 54, stk. 2,

2) undlader at efterkomme Datatilsynets afgørelse efter § 5, stk. 1, § 7, stk. 7, § 13, stk. 1, 2. pkt., § 26, stk. 2, 1. pkt., § 27, stk. 4, §§ 28 og 29, § 30, stk. 1, § 31, § 32, stk. 1 og 4, §§ 33-37, § 39, § 50, stk. 2, eller § 58, stk. 2,

3) undlader at efterkomme Datatilsynets krav efter § 62, stk. 1,

4) hindrer Datatilsynet i at få adgang efter § 62, stk. 3 og 4,

5) tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, § 50, stk. 5, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven, eller

6) undlader at efterkomme forbud eller påbud, der er meddelt i henhold til § 59 eller i henhold til regler udstedt i medfør af loven.

    Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som udføres for offentlige myndigheder, overtræder § 41, stk. 3, eller § 53 eller tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven.

    Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som er undergivet en anden medlemsstats lovgivning, undlader at efterkomme Datatilsynets afgørelser efter § 59 eller at opfylde Datatilsynets krav efter § 62, stk. 1, eller hindrer Datatilsynet i at få adgang efter § 62, stk. 3 og 4.

    Stk. 4. I regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller hæfte.

    Stk. 5. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

§ 71. Den, der driver eller er beskæftiget med virksomhed som nævnt i § 50, stk. 1, nr. 2-5, eller § 53, kan ved dom for strafbart forhold frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for misbrug. I øvrigt finder straffelovens § 79, stk. 3 og 4, anvendelse.

Kapitel 19

Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v.

§ 72. Vedkommende minister kan i særlige tilfælde fastsætte nærmere regler for behandlinger, som udføres for den offentlige forvaltning.

§ 73. Justitsministeren kan fastsætte nærmere regler for bestemte typer af behandlinger, som udføres for private dataansvarlige, herunder at bestemte typer oplysninger ikke må behandles.

§ 74. Brancheforeninger eller andre organer, som repræsenterer andre kategorier af private dataansvarlige, kan i samarbejde med Datatilsynet udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i denne lov.

§ 75. Justitsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Det Europæiske Fællesskab udstedte beslutninger, som træffes med henblik på gennemførelse af direktivet om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, eller regler, som er nødvendige for at anvende de af Fællesskabet udstedte retsakter på direktivets område.

§ 76. Loven træder i kraft dagen efter bekendtgørelsen i Lovtidende.

    Stk. 2. Lov om offentlige myndigheders registre, jf. lovbekendtgørelse nr. 654 af 20. september 1991, og lov om private registre m.v., jf. lovbekendtgørelse nr. 622 af 2. oktober 1987, ophæves.

    Stk. 3. Registerrådets medlemmer indtræder som medlemmer af Datarådet, indtil justitsministeren har udnævnt Datarådets medlemmer.

    Stk. 4. Bekendtgørelse nr. 160 af 20. april 1979 om forretningsorden for registerrådet m.v. gælder for Datatilsynets virksomhed, indtil den ophæves eller erstattes af regler udstedt i medfør af denne lov.

    Stk. 5. Anordning nr. 73 af 5. marts 1979 om, at forskrifter for registre m.v., der udfærdiges i medfør af loven om offentlige myndigheders registre, ikke indføres i Lovtidende, ophæves.

    Stk. 6. Klage- eller tilsynssager, der er oprettet før den 24. oktober 1998, færdigbehandles efter de hidtil gældende regler. Datatilsynet udøver den kompetence, som efter disse regler tilkommer Registertilsynet.

    Stk. 7. Datatilsynet udfører i øvrigt de opgaver, som efter lovgivningen udføres af Registertilsynet.

§ 77. For behandlinger, der foretages for private, og som er iværksat før den 24. oktober 1998, skal reglerne i kapitel 13 være opfyldt senest den 1. oktober 2000.

    Stk. 2. For behandlinger, der foretages for offentlige myndigheder, og som er iværksat før den 24. oktober 1998, skal reglerne i kapitel 12 og 14 være opfyldt senest den 1. april 2001.

    Stk. 3. Behandlinger, der er iværksat før den 24. oktober 1998, kan fortsætte uden tilladelse i 16 uger efter lovens ikrafttræden, hvis der skal indhentes tilladelse hertil efter reglerne i lovens afsnit II eller bestemmelsen i stk. 7.

    Stk. 4. Behandlinger, der er iværksat den 24. oktober 1998 eller senere, men inden lovens ikrafttræden, kan fortsætte uden forudgående anmeldelse, udtalelse eller tilladelse i 16 uger efter lovens ikrafttræden.

    Stk. 5. Der skal senest 16 uger efter lovens ikrafttræden foretages anmeldelse efter bestemmelsen i § 53.

    Stk. 6. Justitsministeren kan fastsætte regler om, at den i stk. 1 og 2 nævnte frist forlænges.

    Stk. 7. Tilsynsmyndigheden kan i ganske særlige tilfælde efter ansøgning bestemme, at behandlinger, der er iværksat før lovens ikrafttræden, kan fortsætte uanset behandlingsreglerne i afsnit II.

§ 78. Behandlinger, som før lovens ikrafttræden er anmeldt efter § 2, stk. 3, 2. pkt., i lov om private registre m.v., kan fortsætte efter de hidtil gældende regler indtil den 1. oktober 2001. Datatilsynet udøver den kompetence, som efter disse regler tilkommer Registertilsynet.

    Stk. 2. Behandlinger som nævnt i stk. 1 skal overholde lovens § 5 og §§ 41-42. For disse behandlinger kan den registrerede kræve berigtigelse, sletning eller blokering af oplysninger, der er urigtige eller vildledende, eller som opbevares på en måde, der er uforenelig med de legitime formål, som den dataansvarlige forfølger. Datatilsynet fører tilsyn efter reglerne i lovens kapitel 16.

§ 79. Et samtykke, som er givet i overensstemmelse med de hidtil gældende regler, gælder for behandlinger, der foretages efter lovens ikrafttræden, såfremt samtykket opfylder kravene i denne lovs § 3, nr. 8, sammenholdt med § 6, nr. 1, § 7, stk. 2, nr. 1, § 8, stk. 2-5, § 11, stk. 2, nr. 2, eller stk. 3, eller § 27, stk. 3, nr. 1.

§ 80. I lov nr. 572 af 19. december 1985 om offentlighed i forvaltningen som senest ændret ved lov nr. 276 af 13. maj 1998 foretages følgende ændring:

1. § 5, stk. 3, affattes således:

»Stk. 3. Vedkommende minister kan fastsætte regler om offentlighedens adgang til at blive gjort bekendt med fortegnelser som nævnt i stk. 2, der ikke er omfattet af lov om behandling af personoplysninger. Der kan herunder fastsættes regler om betaling.«

§ 81. I lov nr. 430 af 1. juni 1994 om massemediers informationsdatabaser foretages følgende ændringer:

1. I § 3, stk. 1 og 3, og § 6, stk. 1, ændres »Registertilsynet« til: »Datatilsynet«.

2. § 17 affattes således:

»§ 17. Et massemedie skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger. Lovgivningens almindelige erstatningsregler finder i øvrigt anvendelse.

    Stk. 2. Lovgivningens almindelige regler om straf finder anvendelse på sager omfattet af denne lov.

    Stk. 3. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.«

3. Som ny § 11 a indsættes følgende bestemmelse:

»§ 11 a. Der skal træffes de fornødne sikkerhedsforanstaltninger mod, at informationer i offentligt tilgængelige informationsdatabaser ændres af uvedkommende.«

4. § 16, stk. 1, nr. 1, affattes på følgende måde:

»1) overtræder § 4, § 5, § 7, § 8, stk. 1, § 9, nr. 2 og 3, § 11, stk. 1 og 3, eller § 11 a.«

§ 82. I tinglysningsloven, jf. lovbekendtgørelse nr. 622 af 15. september 1986, som senest ændret ved lov nr. 1018 af 23. december 1998, foretages følgende ændringer:

1. I § 50 d, stk. 1, indsættes i stedet for »Registertilsynet«: »Domstolsstyrelsen«.

2. § 50 d, stk. 2 og 3, affattes således:

»Stk. 2. Domstolsstyrelsen fører tilsyn med tinglysningsregistrene. Domstolsstyrelsens afgørelser er endelige.

    Stk. 3. Justitsministeren fastsætter nærmere regler om dette tilsyn efter forhandling med Domstolsstyrelsen. «

§ 83. Loven gælder ikke for Færøerne, men kan ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysninger med de afvigelser, som de særlige færøske forhold tilsiger. Loven gælder heller ikke for Grønland, men kan ved kongelig anordning sættes i kraft med de afvigelser, som de særlige grønlandske forhold tilsiger.

Bemærkninger til lovforslaget

Almindelige bemærkninger

     

Indholdsfortegnelse

1.

Lovforslagets formål

    20

2.

EF-direktivet om behandling af personoplysninger

    20

3.

Nedsættelsen af Justitsministeriets udvalg om registerlovgivningen

    21

4.

Lovforslagets systematik og indhold

    21

4.1.

En eller flere love?

    23

4.1.1.

 

Den gældende ordning

    23

4.1.2.

 

Udvalgets overvejelser

    24

4.1.3.

 

Justitsministeriets forslag

    24

4.2.

Lovforslagets hovedpunkter

    24

4.2.1.

Anvendelsesområde

    24

4.2.1.1.

 

Gældende ret

    24

A.

 

Lov om offentlige myndigheders registre

    24

B.

 

Lov om private registre

    25

4.2.1.2.

 

Udvalgets overvejelser

    25

4.2.1.3.

 

Justitsministeriets forslag

    27

4.2.2.

Definitioner

    27

4.2.2.1.

 

Gældende ret

    27

4.2.2.2.

 

Udvalgets overvejelser

    28

4.2.2.3.

 

Justitsministeriets forslag

    28

4.2.3.

Geografisk område

    29

4.2.3.1.

 

Gældende ret

    29

4.2.3.2.

 

Udvalgets overvejelser

    29

4.2.3.3.

 

Justitsministeriets forslag

    29

4.2.4.

Krav til selve behandlingen af oplysninger

    30

4.2.4.1.

 

Gældende ret

    30

A.

 

Lov om offentlige myndigheders registre

    30

B.

 

Lov om private registre

    32

4.2.4.2.

 

Udvalgets overvejelser

    36

A.

 

Almindelige regler om behandling af oplysninger

    36

B.

 

Særlige regler om behandling af oplysninger

    38

4.2.4.3.

 

Justitsministeriets forslag

    42

4.2.5.

Registreredes rettigheder

    44

4.2.5.1.

 

Gældende ret

    44

A.

 

Lov om offentlige myndigheders registre

    44

B.

 

Lov om private registre

    46

4.2.5.2.

 

Udvalgets overvejelser

    47

4.2.5.3.

 

Justitsministeriets forslag

    50

4.2.6.

Behandlingssikkerhed

    52

4.2.6.1.

 

Gældende ret

    52

A.

 

Lov om offentlige myndigheders registre

    52

B.

 

Lov om private registre

    53

4.2.6.2.

 

Udvalgets overvejelser

    54

4.2.6.3.

 

Justitsministeriets forslag

    54

4.2.7.

Anmeldelse af behandlinger

    55

4.2.7.1.

 

Gældende ret

    55

A.

 

Lov om offentlige myndigheders registre

    55

B.

 

Lov om private registre

    56

4.2.7.2.

 

Udvalgets overvejelser

    56

A.

 

Behandlinger, der udføres for den offentlige forvaltning

    57

B.

 

Behandlinger, der udføres for private dataansvarlige

    60

C.

 

Behandlinger, der udføres for domstolene

    61

D.

 

Særligt om edb-servicebureauer (databehandlere)

    62

4.2.7.3.

 

Justitsministeriets forslag

    62

4.2.8.

Tilsyn

    63

4.2.8.1.

 

Gældende ret

    63

A.

 

Lov om offentlige myndigheders registre

    63

B.

 

Lov om private registre

    65

4.2.8.2.

 

Udvalgets overvejelser

    66

A.

 

Det almindelige tilsyn (Datatilsynet)

    66

B.

 

Tilsynet med domstolene

    71

4.2.8.3.

 

Justitsministeriets forslag

    72

4.2.9.

Retsmidler, erstatning og sanktioner

    72

4.2.9.1.

 

Gældende ret

    72

A.

 

Lov om offentlige myndigheders registre

    72

B.

 

Lov om private registre

    73

4.2.9.2.

 

Udvalgets overvejelser

    73

4.2.9.3.

 

Justitsministeriets forslag

    74

4.2.10.

Mediernes forhold

    74

4.2.10.1.

 

Gældende ret

    74

4.2.10.2.

 

Udvalgets overvejelser

    76

4.2.10.3.

 

Justitsministeriets forslag

    77

4.2.11.

Forholdet mellem lovforslaget og anden forvaltningsretlig lovgivning

    78

4.2.11.1.

 

Gældende ret

    78

A.

 

Forholdet mellem lov om offentlige myndigheders registre og forvaltningsloven

    78

B.

 

Forholdet mellem lov om offentlige myndigheders registre og offentlighedsloven

    79

C.

 

Forholdet mellem registerlovgivningen og arkivlovgivningen

    79

4.2.11.2.

 

Udvalgets overvejelser

    79

4.2.11.3.

 

Justitsministeriets forslag

    80

4.2.12.

Særligt om ny informationsteknologi

    82

4.2.12.1.

 

Gældende ret

    82

4.2.12.2.

 

Udvalgets overvejelser

    82

4.2.12.3.

 

Justitsministeriets forslag

    83

5.

Økonomiske og administrative konsekvenser m.v.

    83

6.

Høring

    85

1. Lovforslagets formål

    Formålet med lovforslaget er at gennemføre en mere tidssvarende generel lovgivning om behandling af personoplysninger til afløsning af den gældende registerlovgivning.

    Med lovforslaget tilsigtes det at sikre et fortsat højt beskyttelsesniveau i forhold til den enkelte borger. Samtidig er det hensigten at skabe en fleksibel ordning, som kan danne rammen om en hensigtsmæssig udnyttelse af den stadig større mulighed for - på baggrund af den teknologiske udvikling - at gøre personoplysninger til genstand for elektronisk behandling.

    Det er endvidere et væsentligt formål med lovforslaget at gennemføre et EF-direktiv fra 1995 om behandling af personoplysninger, jf. nærmere nedenfor under pkt. 2.

    De foreslåede regler skal gælde for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke- elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register (manuelle registre), jf. lovforslagets § 1, stk. 1. Lovforslaget medfører dermed et langt bredere anvendelsesområde end den gældende registerlovgivning, der er begrænset til at omfatte oplysninger, der indgår i registre (navnlig edb-registre).

    Også andre former for behandling af oplysninger, herunder i et vist omfang oplysninger om juridiske personer, omfattes af lovforslagets regulering, jf. nærmere lovforslagets § 1, stk. 2-6.

    Lovforslagets regler vedrører i det væsentlige databeskyttelsesretlige forhold, som også er reguleret i den gældende registerlovgivning. Der fastsættes således bl.a. regler om, i hvilket omfang behandling af oplysninger lovligt kan finde sted, hvilke rettigheder der skal tillægges registrerede personer i forhold til de dataansvarlige, hvilke krav der skal stilles til behandlingssikkerheden, samt hvorledes tilsynet med behandlingen af oplysninger skal organiseres og udføres.

    Som følge af direktivet foreslås der dog på enkelte punkter også regler, som ikke har deres modstykke i den gældende registerlovgivning. Nyskabelsen i forhold til den gældende retstilstand kommer bl.a. til udtryk ved, at der foreslås udtrykkelige regler om lovens geografiske område. Fremhæves skal endvidere styrkelsen af den registreredes retsstilling ved, at der fastsættes regler om den dataansvarliges pligt til at underrette den registrerede om, at der indsamles oplysninger om denne, samt regler om, at den registrerede skal have en videregående indsigtsret end i dag. Udover meddelelse om, hvorvidt der behandles oplysninger om den registrerede, og i givet fald hvilke oplysninger der behandles, skal den registrerede - som noget nyt - have meddelelse om behandlingens formål, om kategorierne af modtagere af oplysningerne, og tilgængelig information om, hvorfra disse oplysninger stammer.

    Udover de foreslåede generelle regler om behandling af personoplysninger er der i lovforslaget medtaget bestemmelser, hvorved der foretages enkelte (mindre) ændringer af henholdsvis lov om massemediers informationsdatabaser, lov om offentlighed i forvaltningen (offentlighedsloven) og lov om tinglysning (tinglysningsloven). Formålet hermed er at tilpasse reglerne i de tre love til de foreslåede generelle regler om behandling af personoplysninger.

    Lovforslaget er med en række ændringer en genfremsættelse af det lovforslag, der har været fremsat for Folketinget to gange (L 82 fremsat den 30. april 1998 og 1. behandlet i Folketinget den 3. juni 1998, jf. Folketingets forhandlinger for den nævnte dato, side 1450 ff., samt L 44, fremsat den 8. oktober 1998 og 1. behandlet i Folketinget den 20. oktober 1998, jf. Folketingets forhandlinger for den nævnte dato, side 266 ff). Der henvises nærmere til pkt. 4 nedenfor.

2. EF-direktivet om behandling af personoplysninger

    EF-direktivet om behandling af personoplysninger blev vedtaget den 24. oktober 1995 (EF-Tidende 1995 L 281, s. 31 ff). Dets danske titel er: »Europa-Parlamentet og Rådets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«. Direktivet er medtaget som bilag til lovforslaget.

    Direktivet er vedtaget med det sigte at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger. Sigtet er endvidere at fjerne hindringerne for udveksling af personoplysninger inden for Fællesskabets område, jf. direktivets artikel 1, stk. 1 og 2, samt præamblens betragtning 1-11. Der er således tale om et direktiv, der vedrører det indre marked.

    Direktivet åbner i et vist omfang mulighed for at fastsætte eller opretholde regler, der giver registrerede personer en videre beskyttelse end efter direktivets bestemmelser. På andre punkter må det antages, at direktivet indeholder bestemmelser, som medlemsstaterne ikke kan fravige. Der henvises nærmere til den betænkning om behandling af personoplysninger (side 32-34), som er afgivet af det nedenfor under pkt. 3 omtalte udvalg om registerlovgivningen.

    I betænkningen er i øvrigt i kapitel 3 givet en kortfattet beskrivelse af direktivet.

    Direktivet skulle have været gennemført i medlemsstaterne senest den 24. oktober 1998.

3. Nedsættelsen af Justitsministeriets udvalg om registerlovgivningen

    Efter vedtagelsen af EF-direktivet nedsatte Justitsministeriet i april 1996 et udvalg om registerlovgivningen. Udvalget, der bestod af repræsentanter fra en række berørte myndigheder, organisationer m.v., fik til opgave at udarbejde et udkast til ny lovgivning på registerområdet. I den forbindelse var det udvalgets opgave at overveje og vurdere, hvorledes en fremtidig lovgivning om behandling af personoplysninger m.v. bør udformes, således at der opnås den rette balance mellem på den ene side hensynet til at sikre borgernes privatliv og personlige integritet og på den anden side hensynet til at bevare og til stadighed udbygge en effektiv offentlig administration og et privat erhvervsliv, som ikke pålægges unødige byrder.

    I overvejelserne skulle bl.a. indgå, om den fremtidige lovgivning mest hensigtsmæssigt kan udformes som én eller flere love, om en sådan lovgivning skal omfatte alle former for behandling af personoplysninger, uanset om behandlingen foretages manuelt eller ved hjælp af edb, om - og i hvilket omfang - man skal inddrage grænsefladerne til forvaltningsloven, offentlighedsloven og arkivloven, herunder om det må anses for mest hensigtsmæssigt at etablere én ny samlet lovgivning om behandling af personoplysninger i den offentlige sektor, om oplysninger om juridiske personer skal være omfattet, og om - og i hvilket omfang - vedkommende lovgivning skal omfatte nye informationsteknologiske fænomener såsom netværk og elektroniske opslagstavler m.v.

    Udvalget afgav i december 1997 betænkning om behandling af personoplysninger (betænkning nr. 1345/1997). Betænkningen indeholder et udkast til lov om behandling af personoplysninger m.v. samt udvalgets bemærkninger hertil, jf. kapitel 6. I samme kapitel er endvidere medtaget et udkast til lov om ændring af offentlighedsloven og lov om massemediers informationsdatabaser samt udvalgets bemærkninger hertil.

    I udvalget var der i det væsentlige enighed om de udarbejdede lovudkast.

4. Lovforslagets systematik og indhold

    Som nævnt i pkt. 1 er lovforslaget med en række ændringer en genfremsættelse af det lovforslag, der har været fremsat for Folketinget to gange (L 82 af 30. april 1998 og L 44 af 8. oktober 1998).

    Lovforslaget bygger ligesom L 82 og L 44 på Registerlovsudvalgets betænkning om behandling af personoplysninger, jf. ovenfor under pkt. 3. Lovforslaget svarer i det væsentlige til lovudkastet i betænkningens kapitel 6. Der er dog foretaget visse ændringer i forhold til lovudkastet om behandling af personoplysninger og i forhold til de foreslåede ændringer i lov om massemediers informationsdatabaser, ligesom der er foretaget visse præciseringer i bemærkningerne til lovforslaget, jf. herom nærmere i det følgende.

    Hovedformålet med ændringerne og præciseringerne er at klargøre og forbedre den beskyttelse, som den registrerede person sikres gennem reglerne i lovforslaget. Der er i den forbindelse grund til at fremhæve følgende om forholdet mellem udvalgsbetænkningen og L 82:

Den gældende - restriktive - retstilstand om, i hvilke tilfælde offentlige myndigheder uden samtykke kan videregive oplysninger til private om enkeltpersoners rent private forhold, forudsættes opretholdt.

Vedkommende tilsynsmyndighed skal ikke kun foretage forudgående kontrol med hensyn til behandling af nærmere bestemte oplysninger om enkeltpersoners rent private forhold, herunder bl.a. væsentlige sociale problemer. Tilsynsmyndigheden skal derimod generelt forudgående kontrollere lovligheden af behandling af oplysninger om enkeltpersoners rent private forhold.

    Også i forbindelse med lovforslagets genfremsættelse den 8. oktober 1998 (L 44) blev der i selve lovteksten foretaget enkelte ændringer og præciseringer. Herudover blev der i lovforslagets bemærkninger foretaget justeringer bl.a. med henblik på at indarbejde fortolkningsbidrag, der er indeholdt i Justitsministeriets besvarelse af en række spørgsmål fra Folketingets Retsudvalg i forbindelse med behandlingen af L 82.

    Hovedformålet hermed var - ligesom med hensyn til de ovennævnte ændringer og præciseringer i L 82 - at klargøre og forbedre den beskyttelse, som den registrerede person sikres gennem reglerne i lovforslaget. Der er i den forbindelse navnlig grund til at fremhæve følgende forhold:

Oplysninger om afdøde personer skal i samme udstrækning som efter den gældende registerlovgivning anses for personoplysninger. Der henvises til pkt. 4.2.2.3.

De almindelige behandlingsregler i lovforslagets §§ 6-7 forudsættes i videst muligt omfang administreret på den måde, at der ikke - uden samtykke - registreres og videregives personoplysninger i videre udstrækning end efter den gældende registerlovgivning. En sådan administration må antages at falde inden for rammerne af direktivet.
Med lovforslaget lægges der således ikke op til ændringer i den gældende retstilstand om, i hvilke tilfælde der må foretages samkøring i den offentlige forvaltning. Der henvises i øvrigt til pkt. 4.2.4.3.

Det er i bemærkningerne til lovforslagets § 7, stk. 7, præciseret, at reglen har karakter af en opsamlingsbestemmelse og derfor forudsættes at have et snævert anvendelsesområde.

    I øvrigt er der grund til at nævne følgende forhold:

I loven om massemediers informationsdatabaser indsættes der en udtrykkelig bestemmelse om behandlingssikkerhed i forbindelse med behandling af oplysninger i massemediers offentligt tilgængelige informationsdatabaser, jf. lovforslagets § 81, nr. 3. Der henvises til pkt. 4.2.10.3.

Med lovforslaget lægges der op til, at spørgsmålet om, i hvilket omfang tilsynsmyndighederne (Datatilsynet) skal inddrages i forbindelse med beslutning om arkivering af oplysninger, skal reguleres i arkivlovgivningen. Den foreslåede regel i § 14, 2. pkt., i L 82 er derfor ikke medtaget i lovforslaget. Om baggrunden herfor henvises til pkt. 4.2.11.3.

Det foreslås, at Domstolsstyrelsen fra den 1. juli 1999, hvor loven om Domstolsstyrelsen trådte i kraft, skal føre tilsyn med domstolenes behandling af personoplysninger vedrørende domstolenes administrative forhold.

    Også med det fremsatte lovforslag er der som nævnt foretaget en række ændringer og præciseringer i forhold til L 44.

    Hovedformålet med ændringerne er ligesom med hensyn til de ovennævnte ændringer og præciseringer i L 82 og L 44 at klargøre og forbedre den beskyttelse, som den registrerede sikres gennem reglerne i lovforslaget.

    Der er i den forbindelse navnlig grund til at fremhæve følgende forhold:

Reglerne om behandling af personoplysninger i anden lovgivning, som giver den registerede en bedre retsstilling, går forud for reglerne i lovforslaget, jf. lovforslagets § 2, stk. 1. Der henvises endvidere til pkt. 4.2.1.3.

Der sættes snævre grænser for, i hvilke tilfælde en virksomhed uden den enkelte forbrugers samtykke må videregive oplysninger om en forbruger til andre virksomheder til brug for markedsføring, jf. lovforslagets § 6, stk. 2-4.

Der indføres en pligt for en virksomhed, inden den uden samtykke videregiver oplysninger om en forbruger til andre virksomheder til brug for markedsføring, til at undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. Er det ikke tilfældet, skal virksomheden oplyse forbrugeren om retten til at gøre indsigelse imod videregivelsen og give forbrugeren en frist på to uger til at gøre sådan indsigelse, jf. lovforslagets § 36.

Lovforslaget indeholder ikke længere regler om adgangen til at foretage direkte uanmodet markedsføring, idet reglerne herom i stedet foreslås indsat i markedsføringsloven.

Inden for det sociale område begrænses adgangen til at videregivere personoplysninger, jf. lovforslagets § 8, stk. 3.

Det præciseres i lovforslagets § 7, stk. 8, at der for den offentlige forvaltning ikke må føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige. Dette svarer til, hvad der gælder efter loven om offentlige myndigheders registre § 9, stk. 2, 1. pkt.

Det præciseres i selve lovteksten, at andre oplysninger om rent private forhold end de i lovforslagets § 7, stk. 1, nævnte ikke uden samtykke kan registreres eller videregives i videre udstrækning end efter den gældende registerlovgivning. Der henvises til lovforslagets § 8.

Der lægges op til en mindre vidtgående adgang for private dataansvarlige til at behandle oplysninger om personnumre (lovforslagets § 11, stk. 2, nr. 2-3). Uden samtykke vil private kun kunne behandle oplysninger om personnumre, hvis behandlingen alene sker til videnskabelige eller statistiske formål, ligesom private alene vil kunne videregive sådanne oplysninger uden samtykke under de samme strenge betingelser som efter den gældende retstilstand.

Det fastsættes udtrykkeligt i lovteksten, at den registrerede til enhver tid kan gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling, jf. lovforslagets § 35.

Det præciseres, at et samtykke kan tilbagekaldes, jf. lovforslagets § 38.

Det fastsættes i kapitlet om den registreredes rettigheder, at den registrerede kan klage til Datatilsynet over, at der behandles personoplysninger om den pågældende, jf. lovforslagets § 40.

    Herudover er der grund til at nævne følgende ændringer:

Loven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. lovforslagets § 2, stk. 2.

Loven skal gælde, hvis der for en dataansvarlig, der er etableret i et andet medlemsland m.v., behandles oplysninger i Danmark, og behandlingen ikke er omfattet af direktivet om behandling af personoplysninger, jf. lovforslagets § 4, stk. 6.

Reglerne i lovforslaget skal administreres på den måde, at de personoplysninger, som offentlige myndigheder og private virksomheder efter de gældende regler i registerlovgivningen kan offentliggøre uden samtykke, også kan offentliggøres uden samtykke efter lovens ikrafttræden. Det gælder, selv om oplysningerne offentliggøres gennem Internettet og dermed bliver offentligt tilgængelige i tredjelande. Der henvises til bemærkningerne til lovforslagets § 27.

Der indsættes en bestemmelse, hvorefter der ikke er ret til indsigt i voteringsprotokoller og andre referater af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for rådslagningen, jf. lovforslagets § 32, stk. 3, sidste pkt.

Adgangen til administrativt at fastsætte bestemmelser om betaling for skriftlige meddelelser om indsigt begrænses til private virksomheder m.v., jf. lovforslagets § 34, stk. 2.

Det fastsættes, at den instruks, som den dataansvarlige skal have efter lovforslagets § 41, ikke må begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt.

Behandlinger af personoplysninger, som foretages på private sygehuse, undtages i lighed med behandlinger på offentlige sygehuse ikke fra anmeldelsespligten, jf. lovforslagets § 49, stk. 1, nr. 8.

Det præciseres, at adgangen til at få indsigt i den fortegnelse over anmeldte behandlinger, som tilsynsmyndighederne fører, alene kan begrænses i det omfang, det er nødvendigt til forebyggelse, opklaring og forfølgning af lovovertrædelser, eller afgørende hensyn til private interesser gør det påkrævet, jf. lovforslagets § 54, stk. 3.

Der kræves ikke betaling for anmeldelse til/indhentning af tilladelse hos Datatilsynet til behandlinger, der udelukkende finder sted i videnskabeligt eller statistisk øjemed. Endvidere fastslås det, at betalingsforpligtelsen indtræder ved indgivelse af anmeldelse eller ansøgning om tilladelse, og at anmeldelse ikke anses for indgivet, før betaling har fundet sted, ligesom Datatilsynet kan bestemme, at tilladelse ikke skal meddeles, før betaling er sket. Der henvises til lovforslagets § 63.

Der ændres i overgangsreglerne for de behandlinger til videnskabelige eller statistiske formål, som er anmeldt før lovens ikrafttræden, således at disse behandlinger med visse skærpelser kan fortsætte efter de hidtil gældende regler indtil den 1. oktober år 2001.

Der foretages ændringer i tinglysningsloven med henblik på at tilpasse denne lovs tilsynsordning til lovforslagets ordning, hvorefter det er Domstolsstyrelsen, der udfører tilsynet med domstolenes administrative funktioner. Der henvises til lovforslagets § 82.

4.1. En eller flere love?

4.1.1. Den gældende ordning

    Den generelle retlige regulering af spørgsmål om adgang til at registrere og videregive oplysninger om personer, virksomheder, foreninger m.v. er i dag indeholdt i lov om offentlige myndigheders registre og lov om private registre m.v., der begge blev vedtaget i deres oprindelige form i 1979 på baggrund af et udvalgsarbejde. Lovene er siden blevet revideret på en række områder i 1988, 1991, 1994 og 1996. Der har dog udelukkende været tale om justeringer, der ikke har medført afgørende ændringer i lovenes grundlæggende struktur. Registerlovgivningens tilblivelse er beskrevet nærmere i betænkningen, side 47 f.

    Ved siden af den nævnte generelle retlige regulering af registerspørgsmål er der i lovgivningen fastsat særlige regler for nærmere bestemte retsområder. Dette gælder bl.a. på medieområdet, hvor der med vedtagelsen af lov nr. 430 af 1. juni 1994 blev indført regler for massemediers informationsdatabaser. En opregning af en række af de forskellige retsområder, hvor der er gennemført en særlig registerretlig regulering, er indeholdt i betænkningen, side 153.

4.1.2. Udvalgets overvejelser

    I betænkningen, side 152, anføres det, at det af betragtning 23 i direktivets præambel fremgår, at medlemsstaterne er bemyndigede til at gennemføre beskyttelsen af personer såvel ved en generel lov om beskyttelse af personer i forbindelse med behandling af personoplysninger som ved særlove, f.eks. for statistik. Under hensyn hertil finder udvalget, at det står lovgiver frit at bestemme, om den fremtidige lovgivning om behandling af personoplysninger bør udformes som en eller flere love.

    Efter en samlet vurdering anbefaler udvalget ud fra lovtekniske hensyn, at den fremtidige generelle lovgivning om behandling af personoplysninger udformes som en samlet lov, der omfatter al form for behandling, herunder også den behandling, der foretages for private og offentlige myndigheder. Ved sit valg af lovmodel lægger udvalget vægt på, at hensynet til at sikre en korrekt implementering af det vedtagne direktiv taler for, at den overvejende del af bestemmelserne i den fremtidige lovgivning om behandling af personoplysninger affattes på samme måde, uanset om bestemmelserne tager sigte på offentlige myndigheder eller private. Det er endvidere tillagt betydning, at en samlet lovgivning på området må antages at skabe en højere grad af overskuelighed for dem, som skal anvende lovgivningen.

    Udvalget bemærker i den forbindelse, at man naturligvis er opmærksom på, at der ved siden af den generelle lovgivning vil kunne vise sig at være behov for - inden for rammerne af direktivet - at fastsætte særlige regler for enkelte retsområder. I givet fald bør dette spørgsmål efter udvalgets opfattelse reguleres i særlovgivningen.

4.1.3. Justitsministeriets forslag

    Justitsministeriet kan tilslutte sig udvalgets synspunkter vedrørende valg af lovmodel og har på den baggrund udarbejdet et samlet forslag til lov om behandling af personoplysninger til afløsning af den nuværende generelle registerlovgivning.

    I den forbindelse er det også tillagt betydning, at der i høringssvarene over betænkningen peges på, at der bør gennemføres en samlet lov om behandling af personoplysninger.

    Det forhold, at der gennemføres en samlet lov på området, ændrer naturligvis ikke ved, at der på nærmere bestemte retsområder kan fastsættes (eller opretholdes) særlige databeskyttelsesretlige regler. Justitsministeriet finder - ligesom udvalget - at en sådan regulering i givet fald bør ske i særlovgivningen. I overensstemmelse hermed indebærer den foreslåede bestemmelse om ændring af lov om massemediernes informationsdatabaser ikke ændringer i den nuværende lovsystematik, jf. herom nedenfor under pkt. 4.2.10.3.

    Om forholdet mellem lovforslaget og særlovgivningen henvises i øvrigt til lovforslagets § 2, stk. 1.

4.2. Lovforslagets hovedpunkter

4.2.1. Anvendelsesområde

4.2.1.1. Gældende ret

A. Lov om offentlige myndigheders registre

    Lov om offentlige myndigheders registres anvendelsesområde fremgår af lovens kapitel 1, §§ 1-3.

    Loven gælder for edb-registre, der føres for den offentlige forvaltning, og som indeholder personoplysninger, jf. lovens § 1, stk. 1.

    Det fremgår af forarbejderne til loven, at begrebet »offentlige forvaltning« har samme indhold som det tilsvarende begreb i lov om offentlighed i forvaltningen. Uden for lovens område falder dermed bl.a. domstolene samt Folketinget og institutioner med tilknytning dertil.

    Med hensyn til, hvad der nærmere skal forstås ved begreberne »edb-registre« og »personoplysninger«, henvises til pkt. 4.2.2.1. nedenfor.

    Efter lovens § 1, stk. 4, gælder lovens kapitel 5 a, hvori der er fastsat regler om videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige, også for edb-registre, som indeholder oplysninger om virksomheder m.v. Oplysninger i forvaltningsmyndigheders edb-registre om juridiske personer er således også i et vist omfang umiddelbart omfattet af lovens område.

    I § 1, stk. 5-9, er fastsat visse undtagelser fra lovens almindelige anvendelsesområde, således som dette fremgår af § 1, stk. 1. Undtaget er efter bestemmelserne behandling af personoplysninger i henholdsvis retsinformationssystemer og - under nærmere angivne betingelser - mediernes informationsdatabaser. Se nærmere herom i betænkningen, side 54 f.

    Lovens §§ 2 og 3 indeholder bemyndigelse for vedkommende minister til at inddrage visse registre under loven, uanset disse som udgangspunkt ikke er omfattet. § 2 tager sigte på at muliggøre, at selskaber, institutioner, foreninger m.v., der ikke er en del af den offentlige forvaltning, under nærmere angivne betingelser kan inddrages under lovens område. Der er endvidere efter § 3 mulighed for at inddrage visse manuelle registre med personoplysninger samt visse edb-registre med oplysninger om juridiske personer under lovens område. Der henvises nærmere til betænkningen, side 50-54.

    Endelig skal det fremhæves, at det følger af lovens § 31, at registre, der føres for politiets eller forsvarets efterretningstjenester, ikke er omfattet af loven, jf. nærmere herom betænkningen, side 49.

B. Lov om private registre

    Lov om private registres anvendelsesområde fremgår af lovens §§ 1 og 2.

    Lovens organisatoriske område er negativt afgrænset i § 2, stk. 1, hvorefter loven ikke omfatter registrering, der foretages for en offentlig myndighed, eller som i øvrigt omfattes af lov om offentlige myndigheders registre, jf. dog kapitel 5 om edb- servicebureauer.

    Af lovens § 1, stk. 1, følger, at loven gælder for registrering, der omfatter personoplysninger, og hvor der gøres brug af elektronisk databehandling. Endvidere er systematisk registrering, der omfatter oplysninger om personers, institutioners, foreningers eller virksomheders private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, omfattet af lovens almindelige anvendelsesområde. Sådan registrering må dog kun finde sted i det omfang, det er tilladt efter lovens kapitel 2, 2 a, 2 b og 3. Loven indeholder således et generelt forbud mod, at privatpersoner i videre omfang foretager systematisk registrering af sådanne oplysninger. I betænkningen, side 89-91, er der redegjort nærmere for lovens almindelige anvendelsesområde.

    I § 2, stk. 2-9, er fastsat en række undtagelser fra lovens almindelige anvendelsesområde.

    Det gælder således med hensyn til registrering af oplysninger til brug for personalhistoriske undersøgelser eller udgivelse af almindelige opslagsværker, jf. stk. 2.

    Også registre oprettet i statistisk eller videnskabeligt øjemed falder uden for lovens område, jf. stk. 3. For sådanne registre gælder dog, at de i det omfang, de indeholder følsomme oplysninger, forudgående skal anmeldes til Registertilsynet med henblik på fastsættelse af vilkår for registeret til beskyttelse af de registreredes privatliv, jf. nærmere betænkningen, side 92-94.

    Endelig er behandling af oplysninger i massemediers informationsdatabaser, i manuelle arkiver over udklip fra offentliggjorte publikationer samt i retsinformationssystemer undtaget fra lovens område, jf. stk. 4-9. Disse undtagelsesbestemmelser er beskrevet i betænkningen, side 94 f.

4.2.1.2. Udvalgets overvejelser

    Udvalget har overvejet, om direktivet, herunder navnlig artikel 3, er til hinder for, at den gældende afgrænsning af anvendelsesområdet for registerlovgivningen opretholdes.

Lovens almindelige anvendelsesområde

    På baggrund af sine overvejelser, herunder navnlig efter høring af Justitsministeriet, finder udvalget at måtte lægge til grund, at det ikke vil være foreneligt med direktivets artikel 3 at opretholde den gældende afgrænsning af anvendelsesområdet for registerlovgivningen.

    I stedet må det almindelige anvendelsesområde for den kommende lov om behandling af personoplysninger fastlægges således, at det omfatter al behandling af personoplysninger, der foretages elektronisk, samt ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Også domstolenes forhold må således efter udvalgets opfattelse omfattes af lovens område, jf. herom nærmere betænkningen, side 177-179. Derimod finder udvalget ikke anledning til at tage nærmere stilling til direktivets betydning for Folketinget eller institutioner med tilknytning dertil. Om baggrunden herfor henvises til betænkningen, side 153 og 181 f.

Lovens område i øvrigt

    Udvalget finder, at fastlæggelsen af lovens anvendelsesområde - medmindre gode grunde kan anføres til støtte herfor - ikke bør ske på en sådan måde, at der sker en forringelse af den beskyttelse, som er indeholdt i den gældende registerlovgivning.

    Udvalget anbefaler derfor, at den kommende lovs anvendelsesområde - ligesom lov om private registre - skal omfatte anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om fysiske personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette er ikke påkrævet efter direktivet. Forslaget om en udvidelse af lovens anvendelsesområde på dette punkt skal således alene ses på baggrund af det beskyttelsesniveau, som følger af lov om private registre (§ 1, stk. 1). I forhold til denne lov foreslås dog visse modifikationer.

    Ud fra databeskyttelsesretlige synspunkter finder udvalget, at der som udgangspunkt ikke er behov for, at oplysninger om juridiske personer omfattes af den kommende lovs område i samme udstrækning som efter lov om private registre m.v. Umiddelbart omfattet af lovens område bør således kun være behandling af oplysninger om juridiske personer, som foretages for kreditoplysnings- og advarselsbureauer, samt offentlige myndigheders videregivelse til kreditoplysningsbureauer af oplysninger om juridiske personers gæld til det offentlige. Uden for disse tilfælde bør der i stedet indsættes en bestemmelse i lovgivningen, hvorefter der administrativt kan træffes bestemmelse om helt eller delvis at lade lovens regler gælde for behandling af oplysninger om juridiske personer. Der henvises nærmere til betænkningen, side 167 f og 185 f.

    I tilknytning til det foreslåede udvidede anvendelsesområde foreslår udvalget endvidere - ud fra ressourcemæssige overvejelser - at der gøres undtagelse med hensyn til reglerne om den dataansvarliges oplysningspligt over for den registrerede samt om den registreredes indsigtsret. Se nærmere om baggrunden herfor betænkningen, side 186 f.

    Udvalget finder i øvrigt ikke behov for at opretholde bestemmelserne i lov om offentlige myndigheders registre § 2 og § 3, stk. 1, (administrativ udvidelse af lovens område i forhold til selskaber m.v. og manuelle registre). Dette skyldes dels, at lovforslaget umiddelbart omfatter forvaltningsmyndigheders manuelle registre, dels at der i det væsentlige foreslås samme regler for henholdsvis forvaltningsmyndigheder og erhvervsvirksomheder, foreninger m.v. Der henvises til betænkningen, side 183 f.

Undtagelser fra lovens område

    Udvalget har endelig taget stilling til, i hvilket omfang der - inden for rammerne af direktivet - bør gøres undtagelse fra lovens område. Der foreslås undtagelser på følgende områder:

    På baggrund af direktivets artikel 3, stk. 2, 2. pind., anbefales det, at behandlinger, der foretages for privatpersoner med henblik på udøvelse af aktiviteter af rent privat karakter, undtages fra den kommende lovs anvendelsesområde. I det omfang, der ikke er tale om udøvelse af aktiviteter af rent privat karakter, finder udvalget endvidere, at der - i modsætning til i dag - bør være adgang for privatpersoner til at foretage behandling af oplysninger på lige fod med erhvervsvirksomheder, foreninger m.v. Der henvises nærmere til betænkningen, side 189 f.

    Også i relation til domstolenes behandling af oplysninger foreslås det, at der i et vist omfang gøres undtagelse fra lovens regulering. Udvalget finder således ikke, at reglerne om den registreredes rettigheder bør finde anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Om baggrunden herfor henvises nærmere til pkt. 4.2.5.2. nedenfor.

    Endvidere anbefales det, at behandling af oplysninger, der foretages for Folketinget eller institutioner med tilknytning dertil, ikke omfattes af lovens område. Dette skyldes som nævnt ovenfor, at udvalget ikke finder anledning til at tage nærmere stilling til direktivets betydning for de nævnte organer.

    Herudover finder udvalget, at der - ligesom efter den gældende registerlovgivning - bør fastsættes undtagelser fra lovens område med hensyn til massemediers informationsdatabaser, jf. nærmere herom nedenfor under pkt. 4.2.10.2. I tilknytning hertil anbefales det ligeledes, at der - i lyset af direktivets artikel 9 - på en række punkter gøres undtagelse fra lovens regulering med hensyn til behandling af oplysninger, som udelukkende sker med henblik på kunstnerisk eller litterær virksomhed. Herom henvises til betænkningen, side 206-208.

    Det helt overvejende flertal i udvalget (17 medlemmer) anbefaler, at behandlinger, der foretages for politiets eller forsvarets efterretningstjenester, heller ikke bør være omfattet af den kommende lovgivnings område. Et enkelt medlem anbefaler, at efterretningstjenesterne inddrages under lovgivningens område, dog således at der gøres undtagelse med hensyn til reglerne om den registreredes rettigheder, herunder reglerne om oplysningspligt og indsigtsret. Samtidig peger dette medlem på, at det i lovgivningen tillige bør bestemmes, at sager vedrørende efterretningstjenesterne skal behandles af tilsynsmyndighedens direktør, og at direktøren i alle henseender er underlagt tavshedspligt.

    Udvalget anfører endelig, at en række af undtagelsesbestemmelserne i registerlovgivningen - som følge af direktivets artikel 3 - ikke vil kunne opretholdes. Det gælder således undtagelsesbestemmelsen i lov om private registre m.v. § 2, stk. 2, hvorefter registrering af oplysninger til brug for personalhistoriske undersøgelser eller udgivelse af almindelige opslagsværker, ikke er omfattet af lov om private registre. Tilsvarende gælder med hensyn til undtagelsesbestemmelsen i lov om private registre m.v. § 2, stk. 3, hvorefter registre oprettet i statistisk eller videnskabeligt øjemed falder uden for lovens område. Heller ikke de særlige undtagelsesbestemmelser vedrørende retsinformationssystemer vurderes at kunne opretholdes, jf. lov om private registre § 2, stk. 8 og 9, og lov om offentlige myndigheders registre § 1, stk. 5 og 6.

    Om den nærmere baggrund for, at de nævnte undtagelsesbestemmelser ikke kan opretholdes, henvises til betænkningen, side 189-191 og 208 f.

4.2.1.3. Justitsministeriets forslag

    Justitsministeriet kan tilslutte sig udvalgets forslag til fastlæggelse af anvendelsesområdet for den kommende lov om behandling af personoplysninger.

    Justitsministeriet finder således, at lovens almindelige anvendelsesområde - som følge af direktivets artikel 3 - må fastlægges således, at det omfatter al behandling af personoplysninger, der foretages elektronisk, og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. lovforslagets § 1, stk. 1.

    I bl.a. Den Danske Dommerforenings høringssvar anføres det, at spørgsmålet om, hvorvidt domstolene skal være omfattet af den kommende lovgivning, bør overvejes yderligere, herunder i lyset af, hvorledes man i de øvrige EU-lande har løst eller agter at løse dette spørgsmål. Der henvises i den forbindelse til betænkningen, side 178, hvor det anføres, at spørgsmålet giver anledning til tvivl.

    Justitsministeriet har på denne baggrund indhentet oplysninger om spørgsmålet i en række medlemsstater (Sverige, Finland, England, Tyskland og Holland). Justitsministeriet har endvidere forhørt sig om spørgsmålet i Norge, der som EØS-land også skal gennemføre direktivet. Ifølge de indhentede oplysninger vil domstolene i alle disse lande blive omfattet af en kommende lovgivning om behandling af personoplysninger. Dette gælder såvel domstolenes administrative som judicielle funktioner. Det er dog oplyst, at der i visse af landene vil blive fastsat regler, som særligt tager sigte på domstolenes forhold.

    I lyset heraf kan Justitsministeriet ikke anbefale, at domstolenes virksomhed i sin helhed eller domstolenes judicielle funktioner undtages fra anvendelsesområdet for den kommende lovgivning om behandling af personoplysninger. Det må således - ligesom det også anføres i betænkningen (side 179) - antages, at domstolenes behandling af personoplysninger skal omfattes af lovgivningen i det omfang, domstolene behandler sager, der falder ind under fællesskabsrettens område. Der er ikke fra domstolenes side fremsat indvending imod udvalgets anbefaling af, at loven ikke bør begrænses til at omfatte den del af domstolenes virksomhed, som falder inden for fællesskabsrettens område. Herefter finder Justitsministeriet, at den kommende lovgivning som udgangspunkt bør gælde for al virksomhed (såvel administrativ som judiciel), som udøves af domstolene.

    Også udvalgets forslag til udvidelser og begrænsninger i lovens anvendelsesområde kan Justitsministeriet tiltræde, jf. lovforslagets § 1, stk. 2-6, og § 2. Herudover finder Justitsministeriet, at der bør indsætttes en bestemmelse i lovforslagets § 2, hvoraf det udtrykkeligt fremgår, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i loven (se hertil lovforslagets § 2, stk. 1). Justitsministeriet finder endvidere, at det for at fjerne enhver tvivl herom bør præciseres i selve lovteksten, at loven ikke finder anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10 (se hertil lovforslagets § 2, stk. 2). Hvad særligt angår undtagelsesbestemmelsen i lovforslagets § 2, stk. 4 (behandling af oplysninger inden for det strafferetlige område), henvises nærmere til det, som er anført nedenfor under pkt. 4.2.5.3.

    I overensstemmelse med indstillingen fra 17 af udvalgets 18 medlemmer stilles der ikke forslag om, at forsvarets og politiets efterretningstjeneste skal omfattes af den kommende - generelle - lov om personoplysninger. Principperne for efterretningstjenesternes registrering m.v. vil blive behandlet i det udvalgsarbejde, der er igangsat.

    Ligesom udvalget finder Justitsministeriet af principielle grunde ikke at burde tage stilling til spørgsmålet om, hvorvidt den behandling, der foretages for Folketinget og institutioner med tilknytning dertil, bør omfattes af lovens regulering. Dette er baggrunden for den foreslåede bestemmelse i lovforslagets § 2, stk. 5. Det bemærkes i den forbindelse, at der under Folketinget er nedsat et udvalg, der har til opgave at undersøge direktivets betydning for Folketinget og institutioner med tilknytning dertil.

4.2.2. Definitioner

4.2.2.1. Gældende ret

    Den gældende registerlovgivning indeholder kun i begrænset omfang legale definitioner på registerretlige begreber. I lovgivningen er således kun givet definitioner på begreberne »edb-registre« og »personoplysninger«.

    Ifølge lov om offentlige myndigheders registre § 1, stk. 2, skal der ved begrebet »edb-registre« forstås registre eller andre systematiserede fortegnelser, hvor der gøres brug af elektronisk databehandling. I lovens forarbejder er det forudsat, at de systematiserede oplysninger skal have en vis selvstændig tilværelse for at kunne anses for et register. Der henvises til betænkningen, side 51 f.

    Ved begrebet »personoplysninger« skal efter registerlovgivningen forstås oplysninger, som kan henføres til bestemte personer, selv om det forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, jf. lov om offentlige myndigheders registre § 1, stk. 3, og lov om private registre § 1, stk. 2. Af forarbejderne til lovene fremgår, at det er tilstrækkeligt, at det er muligt at henføre bestemte oplysninger til bestemte personer, uanset om sammenhængen kun kendes af få indviede eller eventuelt kun én person. Der henvises nærmere til betænkningen, side 52 f og 91.

4.2.2.2. Udvalgets overvejelser

    I modsætning til den gældende registerlovgivning indeholder direktivet definitioner af en række databeskyttelsesretlige begreber, jf. herved direktivets artikel 2, litra a-h. Direktivet indeholder således legale definitioner af begreberne »personoplysninger«, »behandling«, »register«, »den registeransvarlige«, »registerfører«, »tredjemand«, »modtager« og »samtykke«.

    Ud fra EU-lovtekniske hensyn finder udvalget, at samtlige disse definitioner bør indføjes i lovgivningen, og at dette bør ske ved, at ordlyden af definitionerne i lovgivningen knyttes tæt op ad direktivteksten. Herved sikres det, at der ikke kan rejses tvivl omkring implementeringen af bestemmelserne i artikel 2, litra a-h.

    Udvalget foreslår dog, at en række af definitionerne gøres kortere og mere præcise end, hvad der følger af direktivet. De eksempler, som er indeholdt i flere af direktivets definitioner, foreslås således ikke indføjet i lovteksten, idet dette mindsker overskueligheden. I stedet finder udvalget, at der bør tages højde for eksemplerne i bemærkningerne til lovforslaget.

    Herudover foreslår udvalget, at der med hensyn til enkelte definitioner anvendes en anden terminologi, end hvad der følger af direktivet. I stedet for begreberne »den registeransvarlige« og »registerføreren« bør der tales om »den dataansvarlige« og »databehandleren«. Der tilsigtes naturligvis ikke herved ændringer i forhold til indholdet af definitionerne i direktivet.

    Foruden de i direktivet indeholdte definitioner finder udvalget, at der - for at skabe klarhed omkring rækkevidden af den kommende lov om behandling af personoplysninger - bør gives en legal definition på begrebet »tredjeland«. Der lægges herved vægt på, at dette begreb - som en konsekvens af direktivet - vil skulle indarbejdes i visse af bestemmelserne i loven. Det gælder således både i relation til reglerne om lovens geografiske område, og for så vidt angår reglerne om overførsel af oplysninger til tredjelande.

    Om udvalgets overvejelser vedrørende fastlæggelsen af legale definitioner på databeskyttelsesretlige begreber henvises i øvrigt til betænkningen, side 210-217.

4.2.2.3. Justitsministeriets forslag

    Justitsministeriet kan tilslutte sig udvalgets synspunkter vedrørende implementeringen af de i direktivets artikel 2 indeholdte definitioner i dansk ret.

    Justitsministeriet finder således, at EU-lovtekniske hensyn taler for, at samtlige direktivets definitioner indføjes i den kommende lov om behandling af personoplysninger, og at dette sker ved, at ordlyden af definitionerne i loven knyttes tæt op ad direktivteksten.

    Justitsministeriet finder endvidere, at der i loven bør medtages en legal definition af begrebet »tredjeland«. Dette begreb er af central betydning i forhold til reglerne om henholdsvis lovens geografiske område og overførsel af oplysninger til tredjelande, jf. lovforslagets § 4 og § 27.

    Registertilsynet har over for Justitsministeriet givet udtryk for, at den afgrænsning af begrebet »personoplysninger« i forhold til afdøde, som Registerlovsudvalget har foreslået, og som også er lagt til grund i L 82, er for snæver. Efter denne afgrænsning skal en oplysning om en afdød person kun være omfattet af loven, hvis den er knyttet til en nulevende person.

    Det er Registertilsynets opfattelse, at loven bør give mulighed for, at tilsynets hidtidige praksis på dette område kan opretholdes. Dette vil indebære, at allerede behandlede oplysninger, f.eks. registrerede oplysninger, efter personens død fortsat vil være omfattet af loven - i hvert fald i en vis tid. Det vil også indebære, at indsamling og efterfølgende behandling af oplysninger om afdøde skal opfylde lovens betingelser, hvis der foreligger et særligt beskyttelsesbehov, hvilket i praksis navnlig vil få betydning for behandling af følsomme oplysninger om afdøde personer.

    Samtidig anfører Registertilsynet, at det er klart, at en række af lovforslagets regler i sagens natur ikke kan finde anvendelse i forbindelse med behandling af oplysninger om afdøde personer. Det gælder f.eks. regler, der forudsætter den registreredes personlige samtykke og reglerne om oplysningspligt over for den registrerede i lovforslagets kapitel 8. Disse problemer kan efter tilsynets opfattelse løses i forbindelse med den praktiske anvendelse af den nye lov.

    Efter Registertilsynets opfattelse bør det overlades til Datatilsynet gennem sin praksis at fastlægge de nærmere grænser for lovens anvendelse på oplysninger om afdøde personer. Dette vil svare til den ordning, som har været gældende under registerlovene siden 1. januar 1979, og denne ordning har ikke givet anledning til væsentlige problemer.

    Justitsministeriet kan tilslutte sig det, som Registertilsynet har anført. Med lovforslagets definition af begrebet personoplysninger lægges der således op til, at oplysninger om afdøde personer - i samme udstrækning som efter den gældende retstilstand - skal anses for personoplysninger og dermed være omfattet af lovforslagets regulering.

    Bestemmelserne i lovforslagets § 3, nr. 1-9, skal ses på denne baggrund.

4.2.3. Geografisk område

4.2.3.1. Gældende ret

    Den gældende registerlovgivning indeholder ikke udtrykkelige regler om den territoriale afgrænsning. Det synes derfor ikke ganske klart, hvorledes den nuværende retsstilling er på dette område.

    Formentlig må det antages, at hverken lov om offentlige myndigheders registre eller lov om private registre er tiltænkt at skulle have virkning for dataansvarlige, som er etableret uden for dansk område. Der er ikke i lovene eller forarbejderne holdepunkter for at antage, at den regulering, som er indeholdt i lovene, skal udstrækkes til at gælde for sådanne dataansvarlige.

4.2.3.2. Udvalgets overvejelser

    I direktivets artikel 4 er der fastsat udtrykkelige regler om det geografiske gyldighedsområde for den nationale lovgivning, som gennemfører direktivet.

    Bestemmelsen, som har karakter af en lovvalgsregel, må efter udvalgets opfattelse antages at være tiltænkt samme fællesskabsretlige betydning i de enkelte medlemsstater. Der henvises herved til, at formålet med bestemmelsen dels er at undgå, at personer unddrages beskyttelse ved omgåelse af lovgivningen, dels er at undgå kumulativ anvendelse af flere forskellige lovgivninger.

    Under hensyn hertil foreslår udvalget, at der fastsættes udtrykkelige regler om den kommende lovs geografiske område, og at affattelsen af reglerne søges tilpasset direktivteksten. I så fald vil lovgivningen lettere kunne tilpasses EF-domstolens praksis på området. Se nærmere betænkningen, side 218.

    På baggrund af sin fortolkning af direktivets artikel 4 foreslår udvalget, at loven skal gælde for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, såfremt aktiviteterne finder sted inden for Det Europæiske Fællesskabs område.

    Herudover foreslås det, at loven skal gælde for den behandling, som udføres for danske diplomatiske repræsentationer.

    Også behandlinger, der foretages for dataansvarlige, som er etableret i et tredjeland, foreslås i et vist omfang omfattet af lovens geografiske gyldighedsområde. Det gælder, hvis behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig her i landet, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område.

    Reglerne i direktivets artikel 4 berører ikke spørgsmålet om strafferetlig jurisdiktionskompetence. Dette spørgsmål bør efter udvalgets opfattelse - ligesom i dag - afgøres efter reglerne i straffelovens kapitel 2.

    I betænkningen, side 218-224, er der redegjort nærmere for direktivets geografiske gyldighedsområde.

4.2.3.3. Justitsministeriets forslag

    Justitsministeriet kan tilslutte sig udvalgets anbefalinger med hensyn til fastlæggelsen af det geografiske gyldighedsområde for den kommende lov om behandling af personoplysninger.

    Registertilsynet peger i sit høringssvar over betænkningen på, at de af udvalget foreslåede regler om lovens geografiske område giver anledning til et problem, som bør overvejes nærmere. Det anføres, at der i den gældende lov om private registre § 21, stk. 1, er indsat regler om indsamling af oplysninger i Danmark med henblik på registrering i udlandet. Efter denne bestemmelse må oplysninger, der efter lovens § 3, stk. 2, ikke må registreres her i landet, ikke indsamles med henblik på registrering i udlandet. Systematisk indsamling af oplysninger i øvrigt med henblik på registrering i udlandet må endvidere kun ske med Registertilsynets tilladelse, for så vidt registreringen her i landet ville kræve anmeldelse til Registertilsynet eller tilladelse efter loven. Registertilsynet har i sin praksis antaget, at denne bestemmelse finder anvendelse med hensyn til registrering, som foretages af udenlandske virksomheder m.v., jf. betænkningen, side 120.

    Registertilsynet finder ikke, at den af udvalget foreslåede bestemmelse om lovens geografiske gyldighed i helt samme udstrækning som den nævnte bestemmelse i lov om private registre giver mulighed for at gribe ind over for en dataansvarlig, som er etableret i et tredjeland, og som indsamler personoplysninger her i landet. Det skyldes, at bestemmelsen i lovudkastet alene gælder, hvis der benyttes hjælpemidler, der befinder sig i Danmark. Bestemmelsen vil således efter tilsynets opfattelse næppe omfatte den indsamling, der sker ved, at den dataansvarlige, som er etableret i et tredjeland, opkøber oplysninger i Danmark, f.eks. i form af indsamling af oplysninger fra offentligt tilgængelige registre, fra private og fra Statstidende, med henblik på registrering til brug for kreditvurdering. Bestemmelsen vil efter tilsynets opfattelse næppe heller omfatte den situation, hvor indsamlingen sker på den måde, at den registrerede eller andre med posten sender oplysninger direkte til den dataansvarlige i tredjelandet. Herudover er det efter tilsynets opfattelse ikke afklaret, om en indberetning til den dataansvarlige, som den registrerede foretager direkte ved hjælp af sin egen pc, med opkobling til f.eks. Internettet, er omfattet af bestemmelsen.

    Registertilsynet anbefaler derfor, at det præciseres, at lovens geografiske område også omfatter »al indsamling af oplysninger i Danmark, som sker med henblik på behandling i et tredjeland«.

    Justitsministeriet kan tilslutte sig Registertilsynets forslag.

    Herudover finder Justitsministeriet, at der i lovforslaget bør indsættes en bestemmelse, hvorefter loven gælder, hvis der for en dataansvarlig, der er etableret i et andet medlemsland (eller et EØS-land), behandles oplysninger i Danmark, og behandlingen ikke er omfattet af direktivet om behandling af personoplysninger (eller regler svarende hertil).

    Lovforslagets § 4 svarer med de nævnte præciseringer til bestemmelsen i § 4 i udvalgets lovudkast, jf. nærmere betænkningens kapitel 6.

    Der foreslås ikke særlige regler om den strafferetlige jurisdiktionskompetence, idet dette spørgsmål bør afgøres efter straffelovens almindelige regler herom, jf. straffelovens kapitel 2.

4.2.4. Krav til selve behandlingen af oplysninger

4.2.4.1. Gældende ret

    I betænkningen, side 55-72 og 95-123, er der givet en grundig redegørelse for registerlovgivningens regler om registrering, opbevaring, videregivelse m.v. af oplysninger.

    Der redegøres derfor i det følgende kun for hovedtrækkene i disse regler.

A. Lov om offentlige myndigheders registre

    For offentlige myndigheders vedkommende følger reglerne om registrering, opbevaring, videregivelse m.v. af oplysninger af lov om offentlige myndigheders registre kapitel 3, 5, 5 a og 6.

Registrering, ajourføring, sletning og arkivering

    Reglerne i lov om offentlige myndigheders registre kapitel 3 om registrering og opbevaring af oplysninger har til formål at yde registrerede personer en sikkerhed i vid forstand. Hertil hører bl.a. reglen, der forhindrer unødig dataophobning (§ 9), reglen om kontrol med, at der ikke registreres urigtige eller vildledende oplysninger, og reglen om sletning af forkerte eller forældede oplysninger (§ 9, stk. 3, og § 11).

    Adgangen for offentlige myndigheder til at registrere oplysninger fremgår af § 9. Af stk. 1 fremgår betingelserne for registrering af oplysninger af ikke-følsom karakter. Af stk. 2 fremgår betingelserne for registrering af oplysninger om enkeltpersoners rent private forhold (følsomme oplysninger).

    Efter § 9, stk. 1, 1. pkt., må der kun registreres oplysninger, der klart er af betydning for varetagelsen af vedkommende myndigheds opgaver. Der må endvidere, jf. stk. 1, 2. pkt., registreres oplysninger, der klart er af betydning for varetagelsen af en anden myndigheds opgaver, såfremt registeret indrettes således, at oplysningerne kun kan benyttes af den anden myndighed. Denne bestemmelse skal være med til at forhindre unødig dataophobning.

    Efter § 9, stk. 2, 1. pkt., må der ikke registreres oplysninger om politiske forhold, som ikke er offentligt tilgængelige.

    Andre oplysninger om enkeltpersoners rent private forhold, herunder oplysninger om race, religion og hudfarve, om foreningsmæssige, seksuelle og strafbare forhold samt oplysninger om helbredsforhold, væsentlige sociale problemer og misbrug af nydelsesmidler og lignende, må ikke registreres, medmindre dette er nødvendigt for varetagelse af registerets opgaver, jf. stk. 2, 2. pkt. Formuleringen indebærer, at registrering af sådanne (følsomme) oplysninger ikke må finde sted, medmindre det er nødvendigt for den registeransvarlige myndighed ikke blot at være i besiddelse af de pågældende oplysninger, men også at lade dem indgå i et register.

    Af lovens § 9, stk. 3, 1. pkt., følger, at registrerede oplysninger, der på grund af alder eller af andre grunde har mistet deres betydning for varetagelsen af registerets opgaver, skal slettes. Bestemmelsen skal sikre, at registeret til stadighed har de aktuelt gældende oplysninger og kun disse. For registre, der ajourføres efter en bestemt tidsplan, vil de gamle oplysninger blive slettet, samtidig med at de nye oplysninger registreres. Det følger endvidere af samme bestemmelse, jf. stk. 3, 2. pkt., at registre, der anvendes løbende, skal indrettes således, at der foretages fornøden ajourføring. Denne bestemmelse skal sikre, at administrative afgørelser ikke træffes på grundlag af forkerte (forældede) oplysninger.

    Af forarbejderne til bestemmelsen i § 9, stk. 3, fremgår, at det i visse tilfælde kan være nødvendigt for en forsvarlig administration af vedkommende myndigheds opgaver at kunne gå tilbage i tiden og fremfinde oplysninger, der var gældende på et tidligere tidspunkt. Det vil i sådanne tilfælde ikke være i strid med reglerne om sletning og ajourføring at opbevare tidligere registereksemplarer eller at overføre oplysningerne til et passivt register. Når forældede oplysninger ikke længere har betydning for varetagelsen af vedkommende myndigheds opgaver, skal de derimod som udgangspunkt slettes, hvilket er nødvendigt for at forhindre en unødig ophobning af data om den enkelte.

    Som alternativ til sletningen kan der dog ske arkivering, jf. lovens § 9, stk. 4. Af bestemmelsen fremgår, at Registertilsynet kan tillade, at registre, der føres for kommunale myndigheder, overføres til opbevaring i arkiv på nærmere angivne vilkår. Registre, der føres for statslige myndigheder, overføres efter bestemmelsen til opbevaring i statens arkiver efter reglerne i lov om offentlige arkiver m.v.

    Bestemmelserne i § 9, stk. 3 og 4, skal i øvrigt ses i sammenhæng med reglen i lovens § 11, hvorefter der skal foretages fornøden kontrol til sikring af, at der ikke registreres urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal efter bestemmelsen snarest muligt slettes eller berigtiges.

Almindelige regler for videregivelse

    De almindelige bestemmelser om offentlige myndigheders videregivelse af oplysninger fremgår af lovens §§ 16 og 17 i kapitel 5 om videregivelse af oplysninger til private og i § 21 i kapitel 6 om videregivelse af oplysninger til offentlige myndigheder.

    Disse regler omhandler alene spørgsmålet om, hvornår der kan ske videregivelse af oplysninger, og altså ikke hvornår der eventuelt skal ske videregivelse.

Videregivelse til private

    Lovens § 16, stk. 1, indeholder som udgangspunkt et forbud imod, at oplysninger som nævnt i § 9, stk. 2, videregives til private personer og virksomheder m.v.

    Dog vil der efter § 16, stk. 2, kunne ske videregivelse, såfremt den, oplysningerne angår, har givet samtykke, jf. nr. 1, det følger af lov eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, jf. nr. 2, videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningerne angår, jf. nr. 3, videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige, jf. nr. 4, eller videregivelsen er nødvendig for udførelsen af videnskabelige eller statistiske undersøgelser af væsentlig samfundsmæssig betydning, jf. nr. 5.

    Det fremgår af § 16, stk. 3, at samtykke som nævnt i stk. 2, nr. 1, skal meddeles skriftligt og skal indeholde oplysning om, hvilke typer oplysninger der må videregives, hvem oplysningerne må videregives til, og hvorledes oplysningerne må anvendes af den angivne modtager, jf. nr. 1-3. Samtykke bortfalder senest efter 1 års forløb, jf. stk. 4.

    Andre oplysninger end dem, der er nævnt i § 9, stk. 2, må som udgangspunkt ikke videregives til private personer eller virksomheder m.v., jf. § 17, stk. 1.

    Videregivelse kan dog efter § 17, stk. 2, ske i det omfang, der er nævnt i § 16, eller når oplysningerne i forvejen er offentligt tilgængelige.

    Herudover følger det af § 17, stk. 3, at der til brug i konkrete retsforhold kan videregives enkeltstående oplysninger til private personer og virksomheder m.v., som kan godtgøre at have en retlig interesse i at få de pågældende oplysninger, der klart overstiger hensynet til oplysningernes hemmeligholdelse. Dette gælder dog ikke oplysninger, om hvilke der ved lov er fastsat særlige tavshedsforskrifter. Der vil ikke kunne ske videregivelse af masseoplysninger efter bestemmelsen, jf. ordet »enkeltstående«.

    Efter § 17, stk. 4, kan der desuden videregives oplysninger til brug for forskning. I denne bestemmelse er der ikke noget krav om, at videregivelsen skal være nødvendig for udførelsen af undersøgelser af væsentlig samfundsmæssig betydning.

    Endelig er der i § 17, stk. 5, en adgang for Registertilsynet til i særlige tilfælde at give tilladelse til videregivelse, når dette på grund af oplysningernes karakter, mængde og formålet med videregivelsen skønnes ubetænkeligt. Tilsynet kan i så fald fastsætte nærmere vilkår for tilladelsen.

    Til udfyldning af reglerne i §§ 16 og 17 kan offentlige myndigheder fastsætte vilkår for videregivelse til private, jf. § 19, 1. pkt., herunder om, at oplysningerne kun må benyttes til bestemte formål. Hvorvidt en privat, som har modtaget oplysninger fra en myndighed, må foretage en egentlig registrering af oplysningerne, afhænger af om registreringsbetingelserne efter lov om private registre er opfyldt, jf. nærmere herom nedenfor under pkt. B.

    Vedkommende minister kan efter lovens § 20 fastsætte regler om betaling for udlevering af oplysninger. Finansministeriet har fastsat regler herom ved bekendtgørelse nr. 367 af 10. juli 1981 om betaling for udlevering af oplysninger til private fra edb-registre, der føres for en kommunal myndighed (enkeltkommunale registre).

Videregivelse til andre forvaltningsmyndigheder

    Bestemmelserne i lovens § 21 regulerer videregivelse af oplysninger til andre forvaltningsmyndigheder.

    Efter lovens § 21, stk. 1, må der som udgangspunkt ikke ske videregivelse af oplysninger om enkeltpersoners rent private forhold (følsomme oplysninger) til anden myndighed. Dog kan der efter stk. 2 ske videregivelse, når den, oplysningen angår, har givet samtykke, jf. nr. 1, det følger af lov eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, jf. nr. 2, videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår, jf. nr. 3, videregivelse er nødvendig for udførelsen af en myndigheds virksomhed, eller påkrævet for en afgørelse, som myndigheden skal træffe, jf. nr. 4, eller videregivelse er nødvendig for udførelsen af videnskabelige eller statistiske undersøgelser af væsentlig samfundsmæssig betydning, jf. nr. 5.

    Samtykke efter nr. 1 skal opfylde betingelserne i § 16, stk. 3, jf. § 21, stk. 4. Samtykket bortfalder senest efter 1 års forløb.

    Andre oplysninger end de, som er nævnt i § 9, stk. 2, må efter § 21, stk. 3, kun videregives, hvis det følger af § 21, stk. 2, eller når oplysningerne i forvejen er offentligt tilgængelige, eller når det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe, jf. dog § 9, stk. 1, 2. pkt.

    Det forhold, at § 21 kun regulerer videregivelse af oplysninger til andre forvaltningsmyndigheder, indebærer i øvrigt, at videregivelse til andre offentlige myndigheder, såsom domstolene, Folketinget m.v., skal afgøres efter lovgivningens almindelige tavshedspligtsbestemmelser. Tilsvarende gælder med hensyn til videregivelse til udenlandske myndigheder. Der henvises nærmere til betænkningen, side 139 f.

Særlige regler for videregivelse

    Udover de ovennævnte almindelige videregivelsesregler er der i kapitel 5 og 6 indsat særlige bestemmelser om videregivelse fra sygehusregistre og andre patient- eller sygdomsregistre til private, jf. § 16 a, og om videregivelse fra registre, som er oparbejdet udelukkende med henblik på forskning og statistik, jf. §§ 18 og 21, stk. 5.

    I et særligt kapitel 5 a findes endvidere regler om videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige.

    Disse særlige videregivelsesregler er nærmere beskrevet i betænkningen, side 61-67.

Samkøring

    Hvad særligt angår samkøring af registre, gælder en række materielle betingelser for, i hvilket omfang dette kan finde sted. Endvidere indeholder loven procedureregler for samkøring. Det fremgår således af lovens § 4, stk. 3, § 6, stk. 4, og § 7, stk. 3, at kravet om forskriftsfastsættelse gælder tilsvarende ved samkøring af registre, som er oparbejdet med henblik på varetagelsen af forskellige opgaver, medmindre samkøringen udelukkende foretages med henblik på uddrag i statistisk eller videnskabeligt øjemed.

    Der henvises nærmere til betænkningen, side 67-70, hvor gældende ret vedrørende offentlige myndigheders samkøring af registre er beskrevet.

B. Lov om private registre

    For private registeransvarliges vedkommende er reglerne om registrering, opbevaring, videregivelse m.v. af oplysninger indeholdt i lov om private registre kapitel 2, 2 b og 3-6.

Almindelige regler for registrering

    Adgangen for erhvervsvirksomheder, erhvervsdrivende, institutioner, foreninger og lignende til at foretage registrering af oplysninger fremgår af lovens § 3.

    Ifølge § 3, stk. 1, må der kun foretages registrering som nævnt i § 1 i det omfang, registreringen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art. Bestemmelsen har karakter af en retlig standard, og det må derfor vurderes konkret i hvert enkelt tilfælde, om der bl.a. på baggrund af den pågældende virksomheds særlige behov og virkeområde kan ske registrering. I betænkningen, side 96, er givet en række eksempler på typiske registre, der efter bestemmelsen kan oprettes og føres.

    Registrering af følsomme oplysninger er reguleret i § 3, stk. 2, hvoraf det fremgår, at oplysninger om enkeltpersoners rent private forhold, herunder oplysninger om race, religion og hudfarve, om politiske, seksuelle og strafbare forhold samt oplysninger om helbredsforhold, væsentlige sociale problemer og misbrug af nydelsesmidler og lign., ikke må registreres, medmindre dette følger af anden lovgivning. Registrering må dog ske, såfremt oplysningen er afgivet af den pågældende selv eller indhentet med hans samtykke, og der foreligger omstændigheder, hvor han må vide, at oplysningen vil blive registreret. Det er endvidere en betingelse, at det er nødvendigt for virksomheden m.v. at være i besiddelse af den pågældende oplysning for at muliggøre en berettiget varetagelse af virksomhedens eller andres tarv. I betænkningen, side 96 f, hvortil der henvises, er redegjort for Registertilsynets praksis vedrørende bestemmelsen.

    Hvis betingelserne i § 3, stk. 2, ikke er opfyldt, kan Registertilsynet tillade, at oplysninger alligevel registreres, jf. § 3, stk. 3. Dette gælder dog kun, hvis det er nødvendigt for virksomheden m.v. at være i besiddelse af den pågældende oplysning for at muliggøre en berettiget varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der taler imod registrering. Bestemmelsen er indsat med henblik på, at Registertilsynet efter en konkret vurdering kan tillade, at bl.a. humanitære organisationer registrerer oplysninger om rent private forhold, når den pågældendes samtykke ikke kan indhentes.

Ajourføring, sletning og arkivering

    I lovens kapitel 2 er endvidere indeholdt regler om ajourføring, sletning og arkivering.

    I § 5 er fastsat en regel, der har til formål at sikre, at registrerede oplysninger så vidt muligt er korrekte. Bestemmelsen gælder som udgangspunkt både manuelle registre og registre, der føres på edb. Oplysningerne kan enten være objektivt urigtige eller vildledende i den sammenhæng, de indgår.

    Nægter virksomheden m.v. efter anmodning fra den registrerede at slette eller berigtige oplysninger, der angives at være urigtige eller vildledende, eller at slette oplysninger, der ikke må registreres, eller har virksomheden ikke inden 4 uger besvaret en henvendelse herom fra den registrerede, kan den registrerede indbringe spørgsmålet for Registertilsynet, jf. § 5, stk. 1. Tilsynet træffer herefter afgørelse om, hvorvidt der skal foretages sletning eller berigtigelse.

    Ifølge § 5, stk. 2, kan Registertilsynet pålægge virksomheden at give skriftlig underretning om berigtigelsen til alle, der har modtaget oplysningen inden for de sidste 6 måneder, før den registrerede fremsatte sin anmodning over for virksomheden. Virksomheden skal samtidig give den registrerede meddelelse om, hvem der har modtaget en sådan underretning. Såfremt Registertilsynet træffer afgørelse om, at en virksomhed m.v. har registreret urigtige eller vildledende oplysninger, vil det indgå i vurderingen af, om der skal berigtiges i forhold til tredjemand, hvorvidt de registrerede oplysninger medfører risiko for gene for den registrerede.

    § 5 suppleres af reglen i § 6, som alene gælder for edb-registre.

    Formålet med reglen i § 6 er bl.a. at modvirke unødig dataophobning. Anvendelse af edb muliggør, at der ubesværet kan lagres mange oplysninger på ét sted, og dermed opstår risikoen for, at der lagres flere oplysninger end nødvendigt.

    Det følger derfor af § 6, stk. 1, at i edb-registre skal en oplysning slettes, når den på grund af alder eller af andre grunde har mistet sin betydning for varetagelsen af registerets opgaver.

    Endvidere skal edb-registre, der anvendes løbende, indrettes således, at der kan foretages fornøden ajourføring af oplysningerne, jf. § 6, stk. 2.

    Registertilsynet stiller som oftest i praksis ikke krav om, at sletning skal ske efter et bestemt antal år, men anmoder i stedet virksomheder m.v. om at tage deres ajourførings- og sletningsprocedurer op til overvejelse. Såfremt virksomheden ikke har procedurer herfor, henstilles det, at sådanne bliver fastsat.

    Der er ikke en tilsvarende bestemmelse for manuelle registre. Dog har Registertilsynet i henhold til § 23, stk. 4, mulighed for i særlige tilfælde at pålægge en virksomhed m.v. at slette oplysninger, der på grund af alder eller af andre grunde har mistet deres betydning for varetagelsen af registerets opgaver.

    § 6, stk. 3, vedrører indførelsen af oplysninger i et edb-register. Efter bestemmelsen skal virksomheder m.v. foretage den fornødne kontrol til sikring af, at der ikke indføres urigtige eller vildledende oplysninger i et edb-register. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

    Registertilsynet har efter § 23, stk. 6, mulighed for at pålægge virksomheden m.v. at foretage nærmere angivne kontrolforanstaltninger til sikring af, at der ikke er eller bliver registreret eller videregivet oplysninger, som er urigtige eller vildledende.

    Endvidere kan tilsynet efter § 23, stk. 2, pålægge en virksomhed m.v. at foretage sletning eller berigtigelse af en oplysning, som ikke må registreres, eller som tilsynet finder urigtig eller vildledende.

    Det bemærkes endelig, at loven - i modsætning til lov om offentlige myndigheders registre - ikke indeholder regler vedrørende overførsel af oplysninger til arkiv. Registertilsynet har imidlertid antaget, at dette ikke i sig selv indebærer, at der ikke vil kunne ske arkivering af registre, som er omfattet af loven. Se nærmere herom i betænkningen, side 149.

Almindelige regler for videregivelse

    Videregivelse af oplysninger fra de i § 3, stk. 1 og 2, nævnte registre er reguleret i lovens § 4, stk. 1-3.

    Ligesom for lov om offentlige myndigheders registres vedkommende regulerer lov om private registre alene, hvornår der kan ske videregivelse, ikke hvornår der eventuelt skal ske videregivelse.

    Der gælder de samme regler, uanset om videregivelsen sker til en anden privat virksomhed m.v. eller til en offentlig myndighed.

    Efter § 4, stk. 1, 1. pkt., må registrerede oplysninger om enkeltpersoners rent private forhold (følsomme oplysninger), herunder oplysninger om race, religion og hudfarve, om politiske, seksuelle og strafbare forhold samt oplysninger om helbredsforhold, væsentlige sociale problemer og misbrug af nydelsesmidler og lignende, ikke videregives uden samtykke fra den registrerede eller den, der handler på dennes vegne, medmindre dette følger af anden lovgivning. Registertilsynet kan dog tillade, at oplysninger som nævnt i 1. pkt. videregives, når videregivelsen sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, jf. stk. 1, 2. pkt.

    Andre registrerede oplysninger (ikke-følsomme oplysninger) må kun videregives uden den registreredes samtykke i det omfang, videregivelse uden sådant samtykke er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, jf. § 4, stk. 2. Oplysninger om forhold, der ligger mere end 5 år tilbage, må dog ikke videregives uden samtykke, medmindre det er åbenbart, at det er af afgørende betydning for bedømmelsen af det forhold, som søges belyst, at oplysningen videregives, eller adgangen til videregivelse følger af anden lovgivning. Bestemmelsen i § 4, stk. 2, har karakter af en retlig standard, og det kan derfor ikke på forhånd angives udtømmende, hvornår videregivelse er et naturligt led. Med hensyn til den nærmere fortolkning af bestemmelsen i § 4, stk. 2, henvises til betænkningen, side 99 f.

    Af § 4, stk. 3, følger, at bestemmelsen i stk. 2 ikke gælder for videregivelse, der alene finder sted til brug i videnskabeligt eller statistisk øjemed. I samme øjemed må der uanset bestemmelsen i stk. 1 ske videregivelse af oplysninger om helbredsforhold.

Samkøring

    Særlige regler om samkøring af private registre er indeholdt i lovens § 4, stk. 4 og 5.

    Af reglerne følger, at samkøring af forskellige virksomheders registre, hvor der gøres brug af elektronisk databehandling, som udgangspunkt ikke må finde sted, jf. stk. 4, 1. pkt. Bestemmelsen, der kun finder anvendelse, hvis samkøringen vedrører forskellige virksomheders registre, er ikke til hinder for samkøring af navne, adresser og lignende, jf. stk. 4, 2. pkt.

    Registertilsynet kan ifølge § 4, stk. 5, give tilladelse til samkøring som nævnt i stk. 4, 1. pkt., når videregivelsesbetingelserne i § 4, stk. 1-3, er opfyldt, og hensynet til de interesser, som samkøringen skal varetage, klart overstiger hensynet til de registrerede personer. Det er endvidere en betingelse, at der er givet meddelelse om, at samkøring kan finde sted. I forbindelse med meddelelse af tilladelse kan Registertilsynet fastsætte nærmere vilkår for anvendelsen af de oplysninger, der fremkommer ved samkøringen. Med hensyn til den praktiske anvendelse af bestemmelsen henvises til betænkningen, side 104.

Særlige regler for registrering og videregivelse

    Lovens almindelige regler om registrering og videregivelse suppleres på en række punkter af særlige regler.

    I lovens § 3, stk. 6 og 7, er således fastsat regler om, at oprettelse af registre med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret kun må finde sted efter forudgående tilladelse fra Registertilsynet. Reglerne er nærmere omtalt i betænkningen, side 118 f.

    Endvidere fremgår det af lovens § 3, stk. 8, at justitsministeren efter indhentet udtalelse fra Registertilsynet kan fastsætte, at nærmere angivne registre helt eller delvis undergives reglerne i kapitel 3 (om kreditoplysningsbureauer), og at bestemte typer oplysninger ikke må indgå i de pågældende registre. Justitsministeriet har i medfør af denne bestemmelse fastsat bekendtgørelse nr. 122 af 11. marts 1988 om pengeinstitutters videregivelse af kreditoplysninger. Se herom betænkningen, side 100. Der er endvidere i medfør af § 3, stk. 8, udstedt bekendtgørelse nr. 523 af 11. august 1986 om virksomheder, der erhvervsmæssigt yder bistand ved stillingsbesættelse. Der henvises nærmere til betænkningen, side 119 f, hvor reglerne i bekendtgørelsen er gennemgået.

    I loven er der tillige fastsat særlige regler om registrering og videregivelse af oplysninger om personnummer, jf. lovens § 4 a. Ifølge bestemmelsens stk. 1 må oplysninger om personnummer kun registreres, når betingelserne i § 3, stk. 2, er opfyldt. Efter stk. 2, må registrerede oplysninger om personnummer kun videregives, når betingelserne i § 4, stk. 2, er opfyldt, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed. Udover at videregivelse af oplysningerne skal være et naturligt led, stilles således yderligere det krav, at videregivelsen skal sikre en entydig identifikation. I betænkningen, side 100 f er redegjort nærmere for bestemmelserne i § 4 a, herunder for Registertilsynets praksis.

    I loven er desuden indeholdt særlige regler om videregivelse af oplysninger til brug ved markedsføring, jf. lovens § 4 b. Efter bestemmelsen må virksomheder ikke videregive registrerede oplysninger om forbrugere til andre virksomheder til brug ved markedsføring, jf. stk. 1. Videregivelse kan dog ske, såfremt betingelserne i § 4 er opfyldt, og den virksomhed, som ønsker at videregive oplysningerne, ved kundeforholdets begyndelse eller på et senere tidspunkt har givet den registrerede tydelig skriftlig meddelelse om, at videregivelse kan finde sted, og den registrerede har givet sit udtrykkelige samtykke til videregivelsen, jf. stk. 2. Efter stk. 3 skal meddelelsen som nævnt i stk. 2 indeholde oplysning om, til hvilken type virksomhed oplysningerne agtes givet. Der er redegjort nærmere for rækkevidden af lovens § 4 b i betænkningen, side 104 f.

    Også særlige regler om registrering af telefonnumre er indeholdt i lov om private registre, jf. lov om private registre § 7 f. Af bestemmelsens stk. 1, 1. pkt., følger, at virksomheder m.v. som udgangspunkt ikke må foretage automatisk registrering af, til hvilke telefonnumre der er foretaget opkald fra virksomhedens telefoner. Dette gælder, uanset om opkaldet foretages fra en virksomheds fast installerede telefoner eller virksomhedens mobile telefoner. Registrering kan dog uanset bestemmelsen i stk. 1, 1. pkt., ske, såfremt Registertilsynets forudgående tilladelse indhentes i tilfælde, hvor afgørende hensyn til private eller offentlige interesser taler herfor, jf. stk. 1, 2. pkt.

    Efter stk. 2 gælder bestemmelserne i stk. 1 dog ikke, hvis andet følger af lov eller for så vidt angår de koncessionerede telefonselskabers registrering af, til hvilke telefonnumre der er foretaget opkald, enten til eget brug med henblik på opkrævning af betaling eller til brug ved teknisk kontrol. Forbudet gælder således ikke, hvor adgangen til registrering af telefonnumre følger af f.eks. retsplejelovens bestemmelser om efterforskningsskridt i straffesager.

    For en nærmere beskrivelse af reglerne i lovens § 7 f, herunder anvendelsen i praksis af bestemmelsen i stk. 1, 2. pkt., henvises til betænkningen, side 101- 103.

    Herudover er der i lovens kapitel 3 fastsat en række særlige regler om kreditoplysningsbureauer.

    I kapitlet er således indeholdt særlige regler om anmeldelse til Registertilsynet af kreditoplysningsvirksomhed (§ 8), om betingelserne for behandling af oplysninger, herunder hvilke oplysninger der må behandles (§§ 9 og 12), om underretning af de personer, der optages i kreditoplysningsbureauers registre samt om disses ret til registerindsigt (§§ 10 og 11), og om berigtigelse og sletning af urigtige eller vildledende oplysninger (§§ 13-15). Endelig er der fastsat særlige regler om overdragelse eller overgivelse i øvrigt af kreditoplysningsbureauers registre (§ 16).

    De ganske omfattende regler er beskrevet i betænkningen, side 105-118.

    Lovens kapitel 4 indeholder særlige regler om adresserings- og kuverteringsbureauer.

    Det fremgår af lovens § 17, stk. 1, hvilke oplysninger sådanne bureauer må registrere. Der må kun registreres oplysninger om navn, adresse, stilling, erhverv samt oplysninger, der frit kan indhentes fra erhvervsregisteret.

    Oplysninger om enkeltpersoners rent private forhold, herunder oplysninger om race, religion og hudfarve, om politiske, seksuelle og strafbare forhold samt oplysninger om helbredsforhold, væsentlige sociale problemer og misbrug af nydelsesmidler og lignende må ikke registreres, jf. lovens § 17, stk. 2, 1. pkt. Bestemmelsen præciserer blot, at oplysninger af den karakter under ingen omstændigheder må registreres af et adresserings- eller kuverteringsbureau.

    Justitsministeren kan efter stk. 2, 2. pkt., fastsætte yderligere begrænsninger i adgangen til at registrere bestemte typer af oplysninger. Dette er ikke sket.

    Efter § 18, stk. 1, skal bureauet i sine registre slette enhver, der fremsætter skriftlig begæring herom. Bestemmelsen sikrer, at personer, virksomheder m.v., der ikke ønsker at modtage reklamemateriale, der er stilet til dem, efter skriftlig begæring herom kan forlange at blive slettet.

    Fremsættes begæringen over for den, der fremtræder som afsender, skal denne videresende begæringen til bureauet, jf. stk. 2. Det vil ikke altid fremgå af udsendt reklamemateriale eller lignende, at det er et adresserings- eller kuverteringsbureau, der har forestået udsendelsen, og for ikke at gøre muligheden for sletning illusorisk, skal en begæring om sletning derfor videreformidles.

    Hvis foreninger og lignende overlader medlemsfortegnelser til et bureau med henblik på udsendelse af meddelelser for foreningen m.v., må bureauet ikke uden foreningens samtykke videregive medlemsfortegnelsen til tredjemand eller benytte den til udsendelser for tredjemand, jf. § 19.

    De særlige regler om registrering og elektronisk databehandling i udlandet, som fremgår af lovens kapitel 6, er nærmere omtalt i betænkningen, side 120 f.

4.2.4.2. Udvalgets overvejelser

    Udvalget anbefaler, at der - ligesom i den gældende registerlovgivning - dels fastsættes almindelige regler om behandling af oplysninger, dels særlige regler for behandling af oplysninger på nærmere bestemte retsområder.

    Udvalget anfører i den forbindelse, at en sådan ordning må antages at være forenelig med direktivet, jf. nærmere betænkningen, side 225.

A. Almindelige regler om behandling af oplysninger

    I betænkningen, side 224-240, er redegjort for udvalgets overvejelser vedrørende udformningen af de generelle regler om behandling af oplysninger, herunder for, hvilke krav direktivet må antages at stille hertil.

Udformningen af reglerne om behandling af oplysninger

    Udvalget foreslår, at bestemmelserne i direktivets artikel 6-8 implementeres i dansk ret ved, at der i lovgivningen indsættes en række almindelige regler om behandling af personoplysninger.

    Reglerne bør som følge af direktivets artikel 2, litra b, hvori der er givet en definition på begrebet »behandling«, udstrækkes til at gælde enhver form for behandling af oplysninger, hvad enten der er tale om indsamling, registrering, samkøring, videregivelse m.v.

    Rent lovsystematisk anbefaler udvalget, at de almindelige behandlingsregler skal bygge på en ordning, hvorefter der dels fastsættes en række grundlæggende principper for den dataansvarliges behandling af oplysninger, dels fastsættes nærmere regler om, hvornår behandling lovligt kan finde sted.

    Ved den nærmere udformning af reglerne bør der tages hensyn til, hvorledes bestemmelserne i direktivets artikel 6-8 er affattet. Udvalget foreslår således, at affattelsen af reglerne lægges tæt op ad direktivteksten, idet hensynet til at sikre, at der ikke kan rejses tvivl omkring gennemførelsen af disse centrale bestemmelser i dansk ret, findes at tale herfor.

Grundlæggende principper for behandling af oplysninger

    På baggrund af ovennævnte overvejelser foreslår udvalget, at det i den kommende lov om behandling af personoplysninger fastsættes, at behandling af oplysninger skal være lovlig og rimelig, det vil sige skal være i overensstemmelse med god databehandlingsskik, at princippet om formålsbestemthed (finalité-princippet) skal gælde for behandling af oplysninger, at oplysninger, som behandles, skal være relevante og tilstrækkelige samt skal være undergivet et proportionalitetsprincip, at der skal ske fornøden kontrol af behandlede oplysningers rigtighed, og at opbevaring af identificerbare oplysninger skal være nødvendig.

    Der henvises nærmere til betænkningen, side 230, hvor udvalgets overvejelser vedrørende fastlæggelsen af de grundlæggende principper for behandling af oplysninger er beskrevet. Anførte sted fremgår bl.a., at de principper, som på baggrund af artikel 6 foreslås indsat i lovgivningen, i vid udstrækning må antages at svare til, hvad der gælder efter den nuværende registerlovgivning.

Nærmere betingelser for behandlingers lovlighed

    Udvalget foreslår endvidere, at der - i tilknytning til de foreslåede grundlæggende behandlingsprincipper - fastsættes nærmere regler for, hvornår behandling af oplysninger lovligt kan finde sted.

    Udvalget anbefaler, at reglerne - ligesom registerlovgivningen - skal bygge på en opdeling af personoplysninger i to kategorier, nemlig hvad man på den ene side kan kalde almindelige personoplysninger og på den anden side særlige kategorier af personoplysninger. I den forbindelse anbefales det, at fastlæggelsen af, hvilke typer af oplysninger som skal anses for at være almindelige oplysninger henholdsvis særlige kategorier af oplysninger, sker ud fra bestemmelserne i direktivets artikel 7 og 8.

    Idet udvalget lægger til grund, at opregningen i artikel 8 af særlige kategorier af oplysninger er udtømmende, finder udvalget ikke, at det kan antages at være muligt - inden for rammerne af direktivet - at opretholde den opregning af almindelige henholdsvis følsomme oplysninger, som er indeholdt i den gældende registerlovgivning.

    Dette indebærer, når der bortses fra artikel 8, stk. 5 og 7, som indeholder helt særlige regler for oplysninger om strafbare forhold samt oplysninger om et nationalt identifikationsnummer, at kun oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold skal anses for at være en særlig kategori af oplysninger, jf. herved direktivets artikel 8, stk. 1. I den forbindelse bemærker udvalget, at udtrykket helbredsmæssige forhold skal forstås således, at det omfatter oplysninger om en persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinmisbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler, jf. herved betænkningen, side 231.

    På denne baggrund anbefaler udvalget, at fastlæggelsen i den fremtidige lovgivning af almindelige henholdsvis særlige kategorier af oplysninger sker på en anden måde, end hvad der efter registerlovgivningen gælder med hensyn til afgrænsningen af begrebet »følsomme personoplysninger«. Bl.a. vil oplysninger om væsentlige sociale problemer ikke kunne anses for at være en særlig kategori af oplysninger, ligesom også andre oplysninger om enkeltpersoners rent private forhold, såsom oplysninger om interne familieforhold, herunder om separations- og skilsmissebegæringer, familiestridigheder, opdragelsesmåde, adoption og ulykkestilfælde, som i dag efter omstændighederne vil være af følsom karakter, ikke vil kunne anses for en særlig kategori af oplysninger.

    Der henvises i den forbindelse nærmere til betænkningen, side 232 f, hvor det fra udvalgets side fremhæves, at betydningen af, at enkelte »følsomme oplysninger« ikke kan henregnes til de særlige kategorier af oplysninger, ikke skal overvurderes.

    Udvalget foreslår - på baggrund af direktivets artikel 7 og 8 - forskellige kriterier for, hvornår almindelige henholdsvis særlige kategorier af oplysninger lovligt skal kunne behandles.

    For de særlige kategorier af oplysninger foreslås det, at behandling skal kunne ske på betingelse af, at den registrerede har givet sit udtrykkelige samtykke til en sådan behandling, at behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, at behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede, eller at behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

    Endvidere foreslås det, at behandling af oplysninger om fagforeningsmæssige tilhørsforhold skal kunne ske, hvis behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder.

    Herudover anbefales det, at en stiftelse, en forening eller en anden almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, inden for rammerne af sin virksomhed skal kunne foretage behandling af særlige kategorier af oplysninger om organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne.

    Er der tale om behandling af særlige kategorier af oplysninger, der er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, bør dette efter udvalgets opfattelse også kunne ske, hvis behandlingen af oplysningerne foretages af en person, der efter lovgivningen er undergivet tavshedspligt. Om den nærmere baggrund for dette forslag henvises til betænkningen, side 246-251.

    Desuden foreslås det, at de særlige kategorier af oplysninger skal kunne behandles, hvis dette er nødvendigt af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område.

    Endelig finder udvalget, at det bør være muligt for tilsynsmyndigheden at meddele tilladelse til behandling af særlige kategorier af oplysninger af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. I givet fald må det overlades til tilsynsmyndigheden at fastsætte nærmere vilkår for behandlingen.

    Med hensyn til spørgsmålet om, hvornår behandling af almindelige oplysninger (andre typer af oplysninger end de særlige kategorier af oplysninger) skal kunne ske, foreslår udvalget - på baggrund af direktivets artikel 7 - at betingelserne herfor skal være, at den registrerede har givet sit samtykke hertil, at behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale, at behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, at behandlingen er nødvendig for at beskytte den registreredes vitale interesser, at behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse, at behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller at behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.

    Efter disse forslag vil det - anfører udvalget - i vid udstrækning blive afgørende, om behandling af oplysninger er nødvendig til varetagelse af de opregnede interesser. I hvilket omfang, dette er tilfældet, vil bero på den konkrete situation. Der vil således med kravet om nødvendighed være overladt den dataansvarlige et vist skøn, som dog altid vil kunne efterprøves af tilsynsmyndigheden.

    Udvalget anfører i den forbindelse, at der med hensyn til selve vurderingen af, om behandling af oplysninger er nødvendig af hensyn til de angivne interesser, skal tages udgangspunkt i, hvilken behandlingsform der er tale om. Det skal således vurderes separat, om det er nødvendigt, at oplysninger indsamles, registreres, videregives, samkøres m.v. I den forbindelse forudsætter udvalget, at vurderingen foretages ud fra synspunktet om, at jo mere indgribende en behandlingsform der er tale om, desto større krav stilles til nødvendigheden af, at behandling finder sted. Der skal dermed f.eks. stilles større krav til nødvendigheden af, at videregivelse eller samkøring af oplysninger finder sted, end til nødvendigheden af, at der sker indsamling og registrering af oplysninger med henblik på den dataansvarliges eget brug.

    Det forhold, at lovgivningen - som følge af direktivets artikel 2, litra b - udstrækkes til at gælde for alle behandlingsformer, vil således ifølge udvalget ikke føre til, at vurderingen af, om behandling kan finde sted, er den samme for hver enkelt form for behandling. Med hensyn til samkøring af registre anfører udvalget bl.a., at der fortsat kan være behov for at være særligt opmærksom på, om en sådan behandling bør finde sted. Det er imidlertid udvalgets opfattelse, at de hensyn, som ligger bag den særlige regulering af registersamkøring, også vil kunne varetages fremover, uden at der i lovudkastet fastsættes særlige materielle regler for, hvornår samkøring må finde sted. Udvalget forudsætter i den forbindelse, at Datatilsynet i forbindelse med anmeldelsesordningen og i andre sammenhænge vil være særligt opmærksom på de situationer, hvor der foretages samkøring af registre. Der henvises til betænkningen, side 227-229.

    For så vidt angår udvalgets overvejelser med hensyn til det nærmere indhold af de foreslåede behandlingskriterier for behandling af henholdsvis almindelige og særlige kategorier af oplysninger, henvises i øvrigt til betænkningen, side 230-240.

B. Særlige regler om behandling af oplysninger

    Som tidligere anført finder udvalget, at det må antages, at der - inden for rammerne af direktivet - i et vist omfang kan fastsættes særlige regler om behandling af personoplysninger på nærmere bestemte områder.

    Under hensyn hertil, og idet udvalget vurderer, at der - ligesom efter den gældende registerlovgivning - er behov for særlige behandlingsregler, foreslås det, at sådanne regler indsættes på følgende områder:

Behandling af oplysninger om strafbare forhold

    Det foreslås, at der - i lyset af direktivets artikel 8, stk. 5 - fastsættes særlige regler for behandling af oplysninger om strafbare forhold. Der henvises til betænkningen, side 240-246.

    Ved udformningen af de særlige regler om behandling af oplysninger om strafbare forhold finder udvalget, at der - ligesom i dag - må sondres mellem behandling, som udføres for henholdsvis offentlige myndigheder og private. I den forbindelse anføres det, at det grundlæggende er udvalgets opfattelse, at offentlige myndigheder i videre udstrækning end private bør kunne behandle oplysninger om strafbare forhold. Samtidig anføres det, at der bør tages hensyn til, at selv om der bør gælde forholdsvis snævre grænser for, hvornår behandling af oplysninger om enkeltpersoners strafbare forhold kan finde sted, så bør reglerne ikke medføre indskrænkninger i den gældende retstilstand vedrørende offentlige myndigheders og privates adgang til at behandle oplysninger om strafbare forhold. Der bør således efter udvalgets opfattelse være mulighed for, at private og offentlige dataansvarlige kan behandle sådanne oplysninger i samme udstrækning som i dag.

    Udvalgets forslag til bestemmelser om henholdsvis offentlige myndigheders og privates behandling, herunder registrering og videregivelse, af oplysninger om strafbare forhold skal ses på denne baggrund.

Retsinformationssystemer

    Udvalget vurderer endvidere, at der er behov for at fastsætte særlige regler om behandling af oplysninger i forbindelse med førelse af retsinformationssystemer.

    Som beskrevet i betænkningen, side 251-253, vil retsinformationssystemer være omfattet af anvendelsesområdet for den kommende lovgivning i det omfang, der behandles personoplysninger heri, jf. herved også pkt. 4.2.1.2. ovenfor. Dette vil bl.a. være tilfældet, hvis systemet indeholder journalnumre vedrørende konkrete afgørelser, som sætter den indlæggende myndighed i stand til at identificere en bestemt person.

    Retsinformationssystemer vil i mange tilfælde indeholde personoplysninger, herunder også oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold. Udvalget finder det derfor hensigtsmæssigt, at der indsættes en udtrykkelig bestemmelse i lovgivningen, hvorefter de nævnte særlige kategorier af oplysninger samt oplysninger om strafbare forhold kan behandles, såfremt dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og behandlingen er nødvendig for førelsen af systemerne.

    Herudover foreslås det, at oplysninger, som indgår i et retsinformationssystem, ikke senere må behandles i andet øjemed. Udvalget er af den opfattelse, at den udtrykkelige begrænsning i den videre behandling af oplysningerne bidrager til etableringen af tilstrækkelige garantier mod misbrug af oplysninger i retsinformationssystemer. Udvalgets forslag om, at tilsynsmyndigheden skal kunne meddele vilkår for behandlingen af oplysninger i retsinformationssystemer, skal også ses som en garanti mod misbrug.

Behandling af oplysninger i statistisk og videnskabeligt øjemed

    Udvalget foreslår herudover, at der - ligesom efter den gældende ordning - fastsættes særlige regler om behandling af oplysninger i statistisk og videnskabeligt øjemed.

    Det foreslås, at oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold samt oplysninger om strafbare forhold skal kunne behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og behandlingen er nødvendig for udførelsen af undersøgelserne.

    Endvidere foreslås det, at oplysninger, som alene behandles i statistisk eller videnskabeligt øjemed, ikke senere må behandles i andet øjemed. Dette indebærer bl.a., at der ikke efterfølgende kan ske videregivelse til andre formål. Heri ligger også, at en undersøgelse ikke må offentliggøres på en sådan måde, at det er muligt at identificere den enkelte registrerede. Reglen indebærer således ingen ændring i forhold til den nugældende retstilstand, bortset fra i relation til almindelige oplysninger, der behandles i private projekter, jf. nedenfor.

    Endelig foreslås det, at der kun kan videregives oplysninger til tredjemand efter forudgående tilladelse fra tilsynsmyndigheden, hvilket i det væsentlige svarer til den gældende ordning for såvel offentlige som private dataansvarlige. Det foreslås i den forbindelse, at det overlades til tilsynsmyndigheden at stille nærmere vilkår.

    I øvrigt finder udvalget, at det bør være de almindelige behandlingsregler, som finder anvendelse på behandling af oplysninger i statistisk eller videnskabeligt øjemed. Dette udgør en nyskabelse i relation til privates behandling af almindelige oplysninger i statistisk eller videnskabeligt øjemed, idet sådanne oplysninger som tidligere nævnt i dag er undtaget fra lov om private registre.

    Der henvises i øvrigt til betænkningen, side 252- 259.

Behandling af oplysninger om personnumre

    Udvalget foreslår også, at der med hensyn til behandling af oplysninger om personnummer, der i dag er særskilt reguleret i lov om private registre, fastsættes særlige regler. I den forbindelse anføres det, at Danmark efter direktivet står frit med hensyn til at bestemme, under hvilke betingelser behandling af oplysninger om personnummer bør kunne finde sted, jf. herved artikel 8, stk. 7. Der henvises til betænkningen, side 259-267.

    Et enigt udvalg anbefaler, at offentlige myndigheder skal kunne behandle oplysninger om personnummer under samme betingelser som i dag.

    Derimod er der ikke enighed i udvalget med hensyn til, i hvilket omfang der bør være adgang til at behandle sådanne oplysninger i den private sektor.

    Et flertal (16 medlemmer) anbefaler, at oplysninger om personnumre i videre udstrækning end i dag skal kunne gøres til genstand for behandling hos private dataansvarlige. Flertallet foreslår således, at private skal kunne behandle oplysninger om personnummer, hvis det følger af lov eller bestemmelser fastsat i henhold til lov, hvis den registrerede har givet samtykke hertil, eller hvis behandlingen er sagligt begrundet og af betydning for en entydig identifikation i forbindelse med varetagelsen af den dataansvarliges, tredjemands eller den registreredes interesser.

    Flertallets forslag er baseret på følgende synspunkter:

    Generelt må adgangen til at registrere personnumre anses for at indebære fordele for såvel virksomhederne som de pågældende enkeltpersoner. En privat virksomhed, forening m.v., der som led i sine aktiviteter behandler personoplysninger, f.eks. i forbindelse med kunde- eller medlemsadministration, kan opnå klare fordele ved at være i besiddelse af de pågældendes personnumre. Der opnås en entydig identifikation, såvel internt i virksomhedens eller foreningens administration som ved udveksling af oplysninger med omverdenen. I sidste ende er dette også til gavn for de registrerede, der vil opnå den samme sikre identifikation her som hos det offentlige - og dermed undgår forveksling med andre - ligesom de registrerede vil kunne få hurtigere og billigere ydelser.

    Samtidig er det flertallets opfattelse, at ingen væsentlige databeskyttelsesmæssige hensyn taler imod, at der fastsættes mindre restriktive regler for private virksomheders m.v. behandling af personnumre, end tilfældet er i dag.

    Flertallet peger herved først og fremmest på, at det enkelte personnummer - bestående af 10 cifre, bygget op efter et bestemt system - ikke i sig selv afslører følsomme oplysninger om den pågældende person. Et personnummer fortæller kun to oplysninger om indehaveren : Alder (og fødselsdato) samt køn.

    Hvad angår alder (og fødselsdato) anses denne oplysning i registermæssig henseende hverken for at være et (ufuldstændigt) personnummer eller for at være en oplysning om rent private forhold omfattet af lov om private registre § 3, stk. 2. De første 6 cifre i et personnummer betragtes i registermæssig henseende som en almindelig personoplysning, der omfattes af den almindelige regel i lov om private registre § 3, stk. 1, dvs. at registrering heraf kan finde sted, hvis registreringen er et naturligt led i den normale drift af en sådan virksomhed. Flertallet anfører i den forbindelse, at Registertilsynet har oplyst, at private virksomheders, foreningers m.v. registrering af de første 6 cifre af personnummeret i praksis ikke giver anledning til problemer i form af klagesager og lignende.

    Oplysningen om køn kan i meget sjældne tilfælde udgøre en oplysning om den pågældendes rent private forhold. Der er imidlertid tale om et helt marginalt problem. Flertallet bemærker herved også, at en person, der har gennemgået en kønsskifteoperation, får tildelt et nyt personnummer.

    Flertallet anfører endvidere, at den nuværende ordning, hvor private virksomheder i mange tilfælde er afskåret fra at registrere personnumre, samtidig med at lovgivningen i betydeligt omfang gennem særbestemmelser herom påbyder private virksomheder at registrere personnumre, f.eks. af hensyn til skattekontrollen, har den efter flertallets opfattelse uheldige konsekvens, at nogle virksomheder i kraft af adgangen til at registrere personnumre stilles bedre end andre. Flertallet peger i den forbindelse på, at en virksomheds interne anvendelse af lovligt registrerede oplysninger som udgangspunkt ikke er reguleret af registerlovgivningen. Dette indebærer, at en privat virksomhed, der lovligt har registreret sine kunders personnumre p.gr.a. en indberetningspligt til skattemyndighederne, internt kan anvende personnumrene også til andre formål, f.eks. i administrative sammenhænge. Flertallet anser det for urealistisk at tro, at man i praksis skulle kunne begrænse private virksomheders interne anvendelse af personnumre til netop det eller de formål, som oprindeligt begrundede registreringen.

    Endelig peger flertallet på, at flere og flere vigtige samfundsmæssige aktiviteter, som tidligere blev varetaget af offentlige myndigheder, i dag udføres i privat regi. En privatisering af en offentlig virksomhed kan efter omstændighederne have den konsekvens, at virksomheden ikke længere kan registrere personnumre i samme omfang som tidligere. Dette forhold taler efter flertallets opfattelse også for, at reglerne for private virksomheders registrering af personnumre bringes i bedre overensstemmelse med reglerne for den offentlige sektor, uden at reglerne nødvendigvis skal være ens.

    Et mindretal (2 medlemmer) er af den opfattelse, at den gældende regel i § 4 a i lov om private registre bør opretholdes.

    Mindretallet lægger i den forbindelse vægt på, at personnummeret udgør nøglen til mange forskelligartede edb-systemer og dermed er adgangsnøgle til at samle store mængder information om den enkelte borger.

    Personnummeret er et meget stærkt identifikationsmiddel, og der er mange følelser knyttet til personnummeret. Mange mennesker nærer stor betænkelighed ved registrering og videregivelse af deres personnummer, som af mange opfattes som en fortrolig oplysning, idet det fungerer som en nøgle, der muliggør, at den, der er i besiddelse af nummeret, kan få udleveret en lang række private oplysninger om den pågældende.

    Mindretallet anfører, at det må erkendes, at personnummeret er optimalt ved identifikation af den enkelte person, men risikoen for, at en tredjemand uretmæssigt får udleveret registrerede personoplysninger, blot fordi han anmoder herom ved oplysning af den registreredes personnummer, vil stige i takt med en lempelse af reglerne på området. Mindretallet frygter, at oplysninger derved vil blive anvendt på en krænkende måde. Mange privatpersoner vil føle sig mere eller mindre presset til at give samtykke til registrering af deres personnummer, f.eks. i forbindelse med indkøb i detailhandlen og indgåelse af lejemål. Mindretallet finder det derfor uacceptabelt, hvis der åbnes mulighed for, at et videoudlejningsfirma eksempelvis kan registrere personnummeret, fordi der foreligger et konkret kontraktforhold mellem kunden og forretningen.

    På den baggrund kan mindretallet ikke tilslutte sig, at der sker en udvidelse af anvendelsen af personnummeret i den private sektor.

Adresserings- og kuverteringsbureauer

    Også med hensyn til den virksomhed, som udøves af adresserings- og kuverteringsbureauer, foreslår udvalget, at der fastsættes særlige regler.

    Det helt overvejende flertal (17 medlemmer) foreslår, at reglerne i det væsentlige udformes på samme måde som de nuværende regler. Dog bør det efter flertallets opfattelse i begrænset omfang overlades til adresserings- og kuverteringsbureauer i videre udstrækning end i dag at behandle oplysninger.

    Det foreslås således, at det - som noget nyt - bør være muligt for bureauerne at behandle oplysninger om e-postadresse samt oplysninger om telefon- og telefaxnummer.

    Ligeledes findes der at burde være adgang for bureauerne til at benytte oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden. I dag kan oplysninger kun indhentes fra Erhvervsregisteret.

    Endelig foreslås det, at andre oplysninger skal kunne behandles, hvis den registrerede samtykker heri. Der lægges herved bl.a. vægt på, at der ikke ses at være noget nævneværdigt beskyttelsesbehov i disse tilfælde, idet det bør være op til den enkelte selv at vurdere, om vedkommende ønsker at blive registreret hos et adresserings- og kuverteringsbureau med henblik på udsendelse af reklamemateriale vedrørende nærmere bestemte produkter.

    Dog finder flertallet - ligesom det også er tilfældet i dag - at oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold samt oplysninger om strafbare forhold og væsentlige sociale problemer ikke bør kunne behandles af bureauerne. Endvidere vurderes det, at der fortsat er behov for en bestemmelse, hvorefter justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at behandle bestemte typer af oplysninger.

    Et mindretal (1 medlem) kan ikke tiltræde flertallets forslag om en øget adgang for adresserings- og kuverteringsbureauer til at behandle oplysninger. Mindretallet foreslår i stedet, at den nuværende retstilstand opretholdes, jf. ovenfor under pkt. 4.2.4.1. (pkt. B).

    Om baggrunden for henholdsvis flertallets og mindretallets forslag henvises nærmere til betænkningen, side 270 f.

Registrering af oplysninger om telefonnumre

    Hvad særligt angår den nuværende telefonregel i lov om private registre § 7 f, er der heller ikke enighed i udvalget.

    Et flertal (12 medlemmer) foreslår, at reglen opretholdes. Ligeledes foreslår flertallet, at reglen skal udvides til også at gælde for offentlige myndigheder, hvilket dog i det væsentlige vil svare til den praksis, der er udviklet i relation til lov om offentlige myndigheders registre § 9, stk. 1.

    Den overvejende opfattelse blandt flertallet er i øvrigt, at der ikke »på nuværende tidspunkt bør tages stilling til, om reglerne om registrering af telefonnumre bør udvides til også at gælde for indgående opkald, idet det synes naturligt, at spørgsmålet ses i sammenhæng med gennemførelsen af det ISDN-direktiv, som forventes vedtaget inden for den nærmeste fremtid« ( betænkningen, side 276).

    Et mindretal (6 medlemmer) finder ikke, at der er grund til at opretholde reglen i lov om private registre § 7 f. Mindretallet finder derfor heller ikke, at reglen bør udvides til også at gælde for offentlige myndigheder.

    Om baggrunden for henholdsvis flertallets og mindretallets forslag henvises i øvrigt til betænkningen, side 275-277.

Kreditoplysningsområdet

    Udvalget foreslår yderligere, at der - ligesom i dag - fastsættes særlige regler inden for kreditoplysningsområdet.

    De gældende regler foreslås kun i ganske begrænset omfang ændret. Udvalget peger herved bl.a. på, at Europa-Kommissionen har iværksat et udredningsarbejde vedrørende kreditoplysningsområdet, hvilket må forventes at munde ud i et initiativ til fællesskabsretlig regulering inden for dette område, jf. nærmere betænkningen, side 277-282.

    I lyset heraf foreslår udvalget kun mindre - terminologiske og indholdsmæssige - ændringer i den gældende ordning med henblik på at tilpasse reglerne til den nye generelle regulering af behandling af oplysninger.

    Dog foreslås det - uafhængigt af direktivet - at der sker en præcisering af rækkevidden af den nuværende regel i lov om private registre § 12, stk. 4 (videregivelse af summariske oplysninger), idet denne bestemmelse efter udvalgets opfattelse i et vist omfang giver anledning til ulig konkurrence mellem landsdækkende kreditoplysningsbureauer og lokalt etablerede kreditoplysningsbureauer.

Overførsel af oplysninger til tredjelande

    Som en konsekvens af direktivets artikel 25 og 26 foreslår udvalget tillige særlige regler om overførsel af oplysninger til tredjelande.

    I betænkningen, side 282-291, er givet en omfattende beskrivelse af, hvorledes reglerne bør udformes, herunder hvordan de nævnte bestemmelser i direktivet må antages at skulle fortolkes.

    Det foreslås, at overførsel af oplysninger til tredjelande alene bør kunne finde sted, hvis de almindelige betingelser for behandling af oplysninger er opfyldt.

    Endvidere anbefales det, at der som udgangspunkt kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Vurderingen heraf skal ske på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet.

    Også i de tilfælde, hvor et tredjeland ikke kan anses for at sikre et tilstrækkeligt beskyttelsesniveau, foreslås det, at der i et vist omfang kan ske overførsel af oplysninger. Således foreslås det, at overførsel kan ske på betingelse af, at den registrerede har givet samtykke, at overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale, at overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand, at overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, at overførsel er nødvendig for at beskytte den registreredes vitale interesser, at overførsel finder sted fra et register, der ifølge lov eller bestemmelser, fastsat i henhold til lov, er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri i det omfang, de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde, at overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig forfølgning, eller at overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed.

    Endvidere finder udvalget, at det bør overlades til tilsynsmyndigheden på området at give tilladelse til, at der overføres oplysninger til tredjelande, som ikke sikrer et tilstrækkeligt beskyttelsesniveau. En betingelse herfor må dog være, at den dataansvarlige yder tilstrækkelige garantier for beskyttelsen af de registreredes rettigheder. I den forbindelse foreslås det, at det overlades til tilsynsmyndigheden at fastsættes nærmere vilkår for overførslen.

Behandling af oplysninger i markedsføringsøjemed

    Udvalget foreslår endelig, at det skal være muligt at behandle oplysninger i markedsføringsøjemed i det omfang, de almindelige behandlingsregler tillader det.

    Om betydningen heraf og om udvalgets nærmere forslag til beskyttelse af registrerede personer i forbindelse med behandling af oplysninger om dem i markedsføringsøjemed, henvises til pkt. 4.2.5.2. nedenfor.

4.2.4.3. Justitsministeriets forslag

Almindelige regler om behandling af oplysninger

    Justitsministeriet er enig med udvalget i, at der i den kommende lovgivning bør fastsættes almindelige betingelser for behandling af oplysninger, og at reglerne herom må udformes på baggrund af direktivets artikel 6-8. Justitsministeriet er endvidere enig med udvalget i, at reglernes ordlyd må lægges tæt op ad direktivteksten for at sikre en korrekt implementering af direktivet.

    I direktivet foretages en opdeling af oplysninger i henholdsvis almindelige oplysninger og særlige kategorier af oplysninger. Denne opdeling er forskellig fra den opdeling i almindelige henholdsvis følsomme oplysninger, der følger af den gældende registerlovgivning. I direktivet fastsættes der også andre kriterier for, hvornår behandling af oplysninger kan finde sted end dem, der er fastsat i den gældende registerlovgivning.

    Disse forskelle skal - som også anført i udvalgets betænkning - ikke overvurderes. Formålet med lovforslaget er således at sikre, at der også i fremtiden vil være et højt beskyttelsesniveau med hensyn til spørgsmålet om, hvorvidt behandling af oplysninger lovligt kan finde sted.

    De almindelige behandlingsregler i lovforslagets §§ 6-7 forudsættes således i videst muligt omfang administreret på den måde, at der ikke - uden samtykke - registreres og videregives personoplysninger i videre udstrækning end efter den gældende registerlovgivning. Det skal i den forbindelse særligt fremhæves, at det med bestemmelserne i lovforslagets § 8 der er indsat for at fjerne enhver tvivl udtrykkeligt fastsættes, at forvaltningsmyndigheder og private virksomheder m.v. ikke uden samtykke må registrere eller videregive oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7 nævnte i videre udstrækning end efter den gældende registerlovgivning.

    For så vidt angår forvaltningsmyndigheder, der udfører opgaver inden for det sociale område, vil en gennemførelse af lovforslaget betyde, at adgangen til at videregive oplysninger om rent private forhold skal afgøres efter kriterier, der svarer til forvaltningslovens § 28, stk. 2.

    Lovforslaget bygger med andre ord bl.a. på den forudsætning, at den gældende retstilstand om, i hvilke tilfælde offentlige myndigheder uden samtykke kan videregive oplysninger til private om enkeltpersoners rent private forhold, bliver opretholdt, jf. lovforslagets §§ 7-8. Lovforslaget åbner således f.eks. ikke op for, at private arbejdsgivere kan indhente oplysninger om jobansøgeres væsentlige sociale problemer, hvis jobansøgeren ikke har givet samtykke til det.

    Det bemærkes i den forbindelse, at vedkommende tilsynsmyndighed efter lovforslagets anmeldelsesordning forudgående skal kontrollere, om forvaltningsmyndigheders behandling, herunder videregivelse til private, af oplysninger om enkeltpersoners rent private forhold er lovlig, jf. lovforslagets § 45, stk. 1, nr. 1. Behandling af sådanne oplysninger vil dermed ikke kunne iværksættes, før Datatilsynet er fremkommet med en udtalelse om behandlingens lovlighed. Det bemærkes endvidere, at der i øvrigt ikke efter lovforslaget er pligt for dataansvarlige, herunder offentlige myndigheder, til at udlevere oplysninger til tredjemænd, f.eks. private arbejdsgivere m.v.

    Det skal endvidere fremhæves, at der med lovforslaget ikke lægges op til ændringer i den gældende retstilstand om, i hvilke tilfælde der må foretages samkøring i den offentlige forvaltning. Der er i øvrigt i lovforslaget fastsat særlige regler om proceduren for visse former for samkøring. En forvaltningsmyndighed skal således indhente en udtalelse fra Datatilsynet, inden samkøring af oplysninger om rent private forhold eller samkøring i kontroløjemed iværksættes, jf. lovforslagets § 45, stk. 1, nr. 1 og 5. Endvidere gælder det generelt, at Datatilsynet i forbindelse med offentlige myndigheders anmeldelse af behandlinger vil have mulighed for at vurdere lovligheden af en samkøring, jf. lovforslagets § 43, stk. 2, nr. 3, hvorefter eventuelle samkøringer skal angives i en anmeldelse.

Særlige regler om behandling af oplysninger

    Justitsministeriet kan også tilslutte sig udvalgets forslag om, at der indsættes særlige regler om behandling af oplysninger på nærmere bestemte områder.

    I de tilfælde, hvor der i udvalget har været uenighed om reglerne, kan Justitsministeriet tilslutte sig den opfattelse, som udvalgets flertal har givet udtryk for. Justitsministeriet finder således f.eks., at der - ud fra de af flertallet anførte synspunkter - bør skabes en vis øget adgang for adresserings- og kuverteringsbureauer til at behandle oplysninger.

    Justitsministeriet har i øvrigt følgende bemærkninger til de konkrete forslag, som udvalget er kommet med:

Behandling af oplysninger om strafbare forhold

    Justitsministeriet er enig med udvalget i, at der - i lyset af direktivets artikel 8, stk. 5 - bør fastsættes særlige regler om behandling af oplysninger om strafbare forhold.

    Justitsministeriet kan endvidere tilslutte sig udvalgets opfattelse, hvorefter disse regler bør udformes således, at der gives henholdsvis offentlige myndigheder og private virksomheder m.v. adgang til at behandle oplysninger om strafbare forhold i samme udstrækning som i dag. Lovforslagets § 8 bygger på denne forudsætning. Dog foreslås det, at myndigheder, der udfører opgaver inden for det sociale område, kun må videregive oplysninger om strafbare forhold på grundlag af kriterier, der svarer til forvaltningslovens § 28, stk. 2. Om betydningen af lovforslagets § 8 for så vidt angår de i bestemmelsen nævnte øvrige oplysninger om rent private forhold henvises i øvrigt til det ovenfor anførte.

Behandling af oplysninger om personnumre

    Efter Justitsministeriets opfattelse er det et ganske vanskeligt spørgsmål at tage stilling til, hvorvidt personnumre i videre udstrækning end i dag bør kunne gøres til genstand for behandling hos private dataansvarlige.

    Justitsministeriet finder dog - som flertallet i udvalget - at ingen væsentlige databeskyttelsesretlige hensyn taler afgørende imod, at der fastsættes mindre restriktive regler for private virksomheders behandling af oplysninger om personnumre. Efter Justitsministeriets opfattelse er det således f.eks. ikke en afgørende indvending mod en (udvidet) anvendelse af personnumre i den private sektor, at der har været eksempler på, at offentlige myndigheder - i strid med reglerne - telefonisk har udleveret oplysninger af følsom karakter, blot fordi der i forbindelse med en henvendelse eksempelvis fra en journalist angives et personnummer over for myndigheden.

    Efter lov om private registre er samtykke ikke i sig selv tilstrækkeligt til at registrere eller videregive oplysninger om personnummer. Justitsministeriet finder, at der bør være en adgang for registrerede personer til at meddele samtykke hertil.

    Efter Justitsministeriets opfattelse taler mest for, at det også som i dag bør være muligt at behandle oplysninger om personnummer uden samtykke, hvis behandlingen alene finder sted til videnskabelige eller statistiske formål. Som eksempel på et sådant behov kan nævnes den situation, hvor en privat forsker indhenter oplysninger til brug for et forskningsprojekt fra en offentlig myndighed om flere tusinde personer, og hvor den pågældende forsker har brug for personnumrene for at kunne identificere de personer, som forskningsprojektet drejer sig om. I et sådant tilfælde ville det være uoverkommeligt for forskeren at skulle indhente samtykke til behandlingen af personnumrene.

    Herudover finder Justitsministeriet, at videregivelse af personnummer ligesom efter den gældende lov om private registre (lovens § 4 a, stk. 2) bør kunne finde sted uden samtykke, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed. Dette vil navnlig give mulighed for at opretholde den nuværende adgang til på grundlag af kundernes personnumre at foretage samkøring i den finansielle sektor.

Registrering af oplysninger om telefonnumre

    Justitsministeriet kan ligeledes tiltræde flertallets forslag om, at den nuværende regel i lov om private registre § 7 f om forbud mod at foretage automatisk registrering af oplysninger om udgående telefonopkald opretholdes og udvides til også at angå offentlige myndigheder.

    Der er tradition i Danmark for, at ansatte i et vist omfang kan benytte telefoner på arbejdspladsen til private formål. De ansatte bør derfor efter Justitsministeriets opfattelse beskyttes mod, at arbejdsgiverne får adgang til oplysninger om, hvem de ansatte har ringet til. Dette gælder i relation til såvel private virksomheder m.v. som offentlige myndigheder.

Kreditoplysningsbureauer

    Justitsministeriet er enig med udvalget i, at en egentlig revision af reglerne om kreditoplysningsbureauer ikke bør iværksættes på nuværende tidspunkt.

    Justitsministeriet kan derimod tiltræde de forslag til - mindre - ændringer i de gældende regler om kreditoplysningsbureauer, som udvalget er fremkommet med.

    Justitsministeriet finder dog - i lyset af direktivets artikel 10 og 11 - at der må foretages en enkelt (mindre) ændring i udvalgets forslag til særregulering af kreditoplysningsbureauers oplysningspligt over for de registrerede. I stedet for den 4 ugers frist for meddelelse om indsamling af oplysninger, som udvalget har foreslået, må tidspunktet for underretningspligtens indtræden efter Justitsministeriets opfattelse fastlægges således, at der ved indsamling af oplysninger hos tredjemand skal gives underretning ved registreringen eller, hvis oplysningerne er bestemt til videregivelse, senest når videregivelse finder sted. I de tilfælde, hvor indsamling af oplysninger sker hos den registrerede, skal meddelelse gives den pågældende i forbindelse hermed.

    Registertilsynet anfører i sit høringssvar over betænkningen, at der i praksis er opstået tvivl om, hvorvidt betingelserne i lov om private registre § 12, stk. 3, om videregivelse af summariske kreditoplysninger også skal være opfyldt i forbindelse med, at summariske oplysninger videregives som led i en bredere kreditvurdering. Ud fra retssikkerhedsmæssige hensyn finder Registertilsynet, at dette bør være tilfældet. Tilsynet foreslår derfor, at dette præciseres i lovgivningen. Justitsministeriet kan tiltræde Registertilsynets forslag, jf. lovforslagets § 23, stk. 3, 3. pkt.

    Endelig finder Justitsministeriet, at det bør præciseres i lovforslaget, at den registreredes adgang til at forlange skriftlig meddelelse fra kreditoplysningsbureauet ikke alene gælder de oplysninger, der er nævnt i § 22, stk. 1, men også den meddelelse, der skal gives efter § 22, stk. 2, og de oplysninger, der skal gives efter § 22, stk. 3. Der henvises til lovforslagets § 22, stk. 4, og bemærkningerne til bestemmelsen.

Særligt om behandling af oplysninger på Internettet

    Med hensyn til brugen af Internettet skal behandlingsreglerne i lovforslaget fortolkes på den måde, at offentlige myndigheders og private virksomheders offentliggørelse af personoplysninger, der uden samtykke kan foretages efter den gældende registerlovgivning, også kan finde sted uden samtykke efter lovens ikrafttræden. Det gælder, selv om en sådan offentliggørelse indebærer, at personoplysninger også bliver offentligt tilgængelige i lande uden for EU.

4.2.5 Registreredes rettigheder

4.2.5.1. Gældende ret

A. Lov om offentlige myndigheders registre

    I lov om offentlige myndigheders registre er fastsat regler om registerindsigt samt regler om, at der i et vist omfang skal gives registrerede personer meddelelse om, at de optages i et edb-register.

Registerindsigt

    Lovens bestemmelser om registrerede personers adgang til oplysninger om sig selv (registerindsigt) fremgår af kapitel 4, §§ 13-15.

    Af lovens § 13, stk. 1, fremgår, at en registeransvarlig myndighed snarest muligt skal give en registreret meddelelse om de oplysninger, der er registreret om vedkommende, såfremt denne fremsætter begæring herom.

    Der er ingen formkrav til en begæring om registerindsigt. Der er heller ikke noget krav om, at den registrerede skal kunne angive, hvilke registre der ønskes indsigt i. Det antages således, at det almindelige princip i forvaltningsretten om vejledningspligt over for borgerne fører til, at de registeransvarlige myndigheder skal oplyse den registrerede om, hvilke registre vedkommende myndighed fører, og herunder også vejlede den registrerede om, i hvilke registre vedkommende kan være optaget.

    Hvis en person anmoder om at blive gjort bekendt med alle oplysninger, som er registreret om vedkommende, skal myndigheden efterkomme anmodningen, medmindre oplysningerne kan undtages fra registerindsigt.

    Det er muligt at undlade at give registerindsigt, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv, jf. § 13, stk. 4. Gør sådanne hensyn sig kun gældende for en del af oplysningerne, skal den registrerede gøres bekendt med de øvrige oplysninger, jf. stk. 4, 2. pkt.

    Generelt er registre, der udelukkende er oparbejdet med henblik på at foretage statistiske uddrag, undtaget fra reglerne om registerindsigt, jf. § 13, stk. 5, 1. pkt.

    Endvidere kan der i henhold til stk. 5, 2. pkt., fastsættes undtagelser fra retten til at få oplysninger, for så vidt bestemmelserne i stk. 4 må antages at medføre, at sådanne begæringer i almindelighed må afslås. På baggrund af denne regel er der indsat bestemmelser i forskrifterne for Det Centrale Kriminalregister, som begrænser adgangen til registerindsigt. Hvis § 13, stk. 5, 2. pkt., ikke finder anvendelse, skal der i hvert tilfælde foretages en konkret vurdering af, hvorvidt der kan undtages fra registerindsigt.

    Der er endvidere mulighed for at undlade at give registerindsigt i et register, hvis den registrerede har fået meddelt registerindsigt i det pågældende register inden for de sidste 6 måneder, medmindre vedkommende kan godtgøre en særlig interesse heri, jf. § 13, stk. 6.

    Selve meddelelsen af registerindsigt kan som udgangspunkt gives i såvel mundtlig som skriftlig form. Blot skal myndigheden sikre sig, at modtageren af oplysningerne er den rette person. I Registertilsynets standardforskrifter er der indsat en bestemmelse om, at udlevering af oplysninger kun må finde sted, når vedkommende har legitimeret sig behørigt, eller når der på anden måde er skabt sikkerhed for, at den, der fremsætter begæringen, er identisk med den person, som oplysningerne vedrører. Fremsættes begæringen af en anden end den registrerede, skal myndigheden sikre sig, at den pågældende er berettiget til at handle på den registreredes vegne.

    Hvis den registrerede stiller krav om at modtage oplysningerne skriftligt, er myndigheden forpligtet til at give en skriftlig meddelelse, jf. § 14. I tilfælde hvor hensynet til den registrerede taler derfor, kan registerindsigten dog gives i form af en mundtlig underretning om indholdet af oplysningerne.

    Lovens kapitel 4 indeholder desuden særlige regler om automatisk registerindsigt i registre, som indeholder oplysninger som nævnt i lovens § 9, stk. 2 (følsomme oplysninger). Det følger således af § 13, stk. 2, at hvis en person fremsætter begæring herom, skal den pågældende med mellemrum, der fastsættes i forskrifterne, have udskrift af de oplysninger, der er registreret om ham. Dette gælder dog kun, hvis den registrerede ikke på anden måde gøres bekendt med de registrerede oplysninger. Der kan fastsættes regler om betaling for meddelelser som nævnt i 1. pkt. Reglerne i § 13, stk. 2, om automatisk registerindsigt, der først træder i kraft efter justitsministerens nærmere bestemmelse, er imidlertid ikke sat i kraft.

    Desuden fremgår det af § 13, stk. 3, at det i forskrifterne for et register kan fastsættes, at den registrerede med nærmere fastsatte mellemrum skal have udskrift af de oplysninger, der er registreret om ham, eller at den registrerede skal kunne fremsætte begæring herom. Også efter denne bestemmelse vil der kunne fastsættes regler om betaling.

    Til uddybning af de ovennævnte bestemmelser har Registertilsynet i 1980 udsendt en vejledning om registerindsigt (egen-acces) i henhold til kapitel 4 i lov om offentlige myndigheders registre. I betænkningen, side 72-74, er i et vist omfang redegjort for vejledningens retningslinier, der i det store hele fortsat er gældende.

Oplysningspligt

    Reglerne om registeransvarliges pligt til at give registrerede personer meddelelse om optagelse i et register er indeholdt i lovens § 10.

    Efter bestemmelsen i stk. 1, kan det i forskrifterne for et register fastsættes, at der skal gives en registreret meddelelse om optagelse i registeret.

    Endvidere kan justitsministeren med hensyn til registre, som indeholder oplysninger som nævnt i § 9, stk. 2 (følsomme oplysninger), efter indhentet udtalelse fra Registertilsynet fastsætte regler om, at den registeransvarlige myndighed inden 4 uger efter registreringen skal give meddelelse til den, der første gang optages i registeret, jf. § 10, stk. 2.

    Endelig fremgår det af § 10, stk. 3, at meddelelser efter stk. 1 og 2 skal indeholde oplysning om den registreredes adgang til at få oplysninger fra registeret efter bestemmelserne i §§ 13-15.

    Bestemmelserne i § 10, stk. 1-3, har aldrig været anvendt.

B. Lov om private registre

    Lov om private registre indeholder i kapitel 2 a, § 7 a-e, regler om registrerede personers adgang til oplysninger om sig selv. Reglerne blev indsat ved lovrevisionen i 1987 og var en forudsætning for, at Danmark kunne ratificere Europarådets konvention nr. 108 af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger.

    Hvor der ved registerets førelse gøres brug af elektronisk databehandling, skal virksomheden m.v. på begæring fra en person give denne meddelelse om, hvad der er registreret om den pågældende, jf. § 7 a, stk. 1. Retten til registerindsigt gælder kun i forbindelse med edb-registre.

    Forpligtelsen til at meddele personer registerindsigt indebærer også, at virksomheden i givet fald skal meddele, at de pågældende personer ikke er registreret, eller at virksomheden ikke fører edb- registre. Adgangen til registerindsigt gælder kun for registrerede personer og ikke for virksomheder m.v., hvilket er begrundet i konkurrencemæssige forhold.

    Der kan ikke stilles formkrav til begæringen. En mundtlig henvendelse er som udgangspunkt tilstrækkelig. Virksomheden m.v. kan dog stille krav om, at den pågældende skal identificere sig, idet registerindsigten kun omfatter oplysninger om én selv. En person, der er berettiget til at handle på den registreredes vegne, kan imidlertid fremsætte begæringen på dennes vegne.

    Ifølge § 7 a, stk. 2, gælder bestemmelsen i stk. 1 ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv. Gør sådanne hensyn sig kun gældende for en del af oplysningerne, skal den registrerede gøres bekendt med de øvrige oplysninger. En konkret afvejning af de nævnte hensyn over for den registreredes interesse i at få meddelt registerindsigt må foretages oplysning for oplysning. I praksis er det bl.a. antaget, at den omstændighed, at en oplysning alene registreres til internt brug, ikke i sig selv er tilstrækkelig til, at der kan ske undtagelse fra registerindsigt. Kun hvis der er et afgørende hensyn at tage til netop det interne forhold, som måtte fremgå af oplysningerne, kan undtagelsesreglen anvendes. Se herved betænkningen, side 124.

    Efter § 7 a, stk. 3, har en person, der har fået meddelelse efter stk. 1, ikke krav på ny meddelelse før 12 måneder efter sidste meddelelse, medmindre den pågældende kan godtgøre en særlig interesse heri. Behandlinger af begæringer om registerindsigt kan udgøre en ressourcemæssig belastning for virksomheden, og med henblik på at sikre, at retten til registerindsigt ikke benyttes i chikanøst øjemed, er der indsat en tidsgrænse for, hvor ofte den registrerede kan få registerindsigt. Under særlige omstændigheder kan tidsfristen fraviges.

    Der er fastsat regler om virksomhedernes m.v. besvarelse af begæringer om registerindsigt. Det følger således af § 7 b, stk. 1, at virksomheder m.v. på begæring skal give meddelelse som nævnt i § 7 a, stk. 1, skriftligt. Efter bestemmelsen skal virksomheden m.v. kun meddele registerindsigten skriftligt, hvis den registrerede har begæret dette. Ofte vil det dog være hensigtsmæssigt under alle omstændigheder at meddele registerindsigt skriftligt.

    Ved registre, der indeholder oplysninger om helbredsforhold, kan meddelelse gives i form af en mundtlig underretning, når væsentlige hensyn til den registrerede taler herfor, jf. § 7 b, stk. 2. Bestemmelsen er som udgangspunkt tænkt anvendt i forbindelse med begæring om registerindsigt i en læges elektroniske journal. Imidlertid er der i lov nr. 504 af 30. juni 1993 om aktindsigt i helbredsoplysninger fastsat særlige regler om indsigt i patientregistre, som føres af autoriserede sundhedspersoner eller af andre på disses vegne. Efter gennemførelse af denne lovgivning gælder bestemmelserne i kapitel 2 a kun for helbredsoplysninger, der i medfør af § 3, stk. 2 (om følsomme oplysninger), er medtaget i registre, der ikke føres af autoriserede sundhedspersoner. Reglerne om aktindsigt i patientjournaler m.v., der udarbejdes af sundhedspersoner, er nu fastsat i kapitel 4 i lov om patienters retsstilling, der trådte i kraft den 1. oktober 1998.

    Ifølge § 7 b, stk. 3, fastsætter justitsministeren regler om betaling for skriftlige meddelelser. Ved bekendtgørelse nr. 123 af 11. marts 1988 er der fastsat regler om betaling for skriftlige meddelelser om indholdet af private edb-registre. Det fremgår af bekendtgørelsen, at virksomheden kan kræve 10 kr. for hver påbegyndt side, dog således at betalingen ikke kan overstige 200 kr. Betaling kan kun opkræves, såfremt den registrerede har fremsat begæring om, at registerindsigten gives skriftligt.

    For så vidt angår virksomhedens frist for besvarelse af begæringen, fremgår det af § 7 c, stk. 1, at virksomheder m.v. snarest skal besvare begæringer som nævnt i § 7 a, stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal virksomheden skriftligt underrette den pågældende om grunden hertil. De oplysninger, der skal udleveres, er dem, der befandt sig i registeret på tidspunktet for anmodningen.

    Virksomheden m.v. er i forbindelse med retten til registerindsigt blevet pålagt en vejledningspligt. Såfremt virksomheden m.v. afslår den registreredes begæring efter § 7 a, stk. 1, jf. stk. 2, skal virksomheden samtidig oplyse den registrerede om adgangen til at indbringe spørgsmålet for Registertilsynet, jf. § 7 c, stk. 2.

    Ifølge § 7 d kan afgørelser om retten til at få meddelt oplysninger efter bestemmelserne i §§ 7 a - 7 c indbringes for Registertilsynet. Bestemmelsen fastslår, at den registrerede kan klage til Registertilsynet over afgørelser, der går den pågældende imod.

    Endelig fremgår det af § 7 e, at bestemmelserne i §§ 7 a-d gælder, uanset om registeret underkastes elektronisk databehandling i udlandet. Bestemmelsen fastslår, at de centrale bestemmelser om retten til registerindsigt ikke kan gøres illusoriske ved at overføre databehandlingen til udlandet.

    Der er ikke i loven en forpligtelse for virksomheder m.v. til at indrømme en registreret indsigt i manuelle registre i det omfang, sådanne registre falder ind under lovens område. Dette er dog ikke til hinder for, at en virksomhed kan beslutte frivilligt at give en registreret indsigt i manuelle registre.

4.2.5.2. Udvalgets overvejelser

Indledende bemærkninger om den registreredes rettigheder

    I betænkningen, side 291-323, er redegjort for, hvilke forpligtelser der efter direktivet påhviler Danmark med hensyn til at tillægge registrerede personer rettigheder i forbindelse med, at oplysninger om dem gøres til genstand for behandling. I den forbindelse er det også beskrevet, hvilke muligheder der efter direktivet er for at gøre undtagelse fra de forskellige rettigheder, samt i hvilket omfang disse muligheder bør udnyttes.

    Udvalget anbefaler, at fastlæggelsen af registrerede personers rettigheder sker ud fra reglerne i direktivets artikel 10-15. I lyset heraf foreslås det, at der tillægges registrerede personer følgende rettigheder:

Ret til under nærmere angivne betingelser at modtage underretning fra den dataansvarlige om, at der indsamles oplysninger om vedkommende.

Ret til indsigt i en række forhold i forbindelse med, at der behandles oplysninger om vedkommende.

Ret til på nærmere angivne områder at gøre indsigelse mod, at behandling af oplysninger finder sted.

Ret til at få oplysninger, der er urigtige eller vildledende, berigtiget, slettet eller blokeret, samt i den forbindelse under nærmere angivne betingelser at få udvirket, at en tredjemand, hvortil oplysningerne om vedkommende er videregivet, underrettes herom.

    Om de foreslåede rettigheder anfører udvalget, at der - i forhold til den gældende registerlovgivning - sker en styrkelse af den registreredes retsstilling. Med reglerne skabes der således større åbenhed omkring behandlingen af oplysninger, samtidig med at der tillægges registrerede personer en indsigelsesret over for nærmere bestemte former for behandlinger.

    Hvad mere specifikt angår udformningen af de enkelte rettigheder, som bør tillægges registrerede personer, anfører udvalget, at bestemmelserne i direktivets artikel 10-15 fællesskabsretligt må kvalificeres således, at de i vid udstrækning tillægger registrerede personer rettigheder, der vil kunne gøres gældende ved bl.a. de danske domstole efter implementeringsfristens udløb. Dette fører efter udvalgets opfattelse til, at ordlyden af de bestemmelser, som skal indsættes i gennemførelseslovgivningen, bør lægges tæt op ad direktivteksten.

    Indholdet af de af udvalget foreslåede regler om den registreredes rettigheder skal ses på denne baggrund.

Den dataansvarliges oplysningspligt over for den registrerede

    Med hensyn til den dataansvarliges oplysningspligt over for den registrerede, foreslås det, at der skal gælde forskellige regler afhængigt af, om oplysninger om den registrerede indsamles hos den pågældende selv eller hos tredjemand.

    Ved indsamling af oplysninger hos den registrerede foreslås det, at den dataansvarlige eller dennes repræsentant skal give den registrerede meddelelse om den dataansvarliges og dennes repræsentants identitet, om formålene med den behandling, hvortil oplysningerne er bestemt, samt al yderligere information, der under hensyn til de særlige omstændigheder, hvorunder oplysninger indsamles, er nødvendig for, at den registrerede kan varetage sine interesser. Der vil f.eks. kunne være tale om oplysninger om kategorierne af modtagere, om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare, eller om, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.

    Også i de tilfælde, hvor oplysninger ikke indsamles hos den registrerede, foreslås det, at der skal påhvile den dataansvarlige eller dennes repræsentant en oplysningspligt. Rækkevidden af oplysningspligten foreslås i det væsentlige fastlagt på samme måde som i relation til indsamling af oplysninger hos den registrerede. Det foreslås således, at der efter omstændighederne skal gives den registrerede information om, hvilken type oplysninger det drejer sig om, om kategorierne af modtagere, eller om, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.

    Udvalget finder ikke, at der bør påhvile dataansvarlige en ubetinget oplysningspligt over for registrerede personer, da en sådan pligt i visse situationer synes for vidtgående. En ubetinget oplysningspligt vil efter udvalgets opfattelse påføre de dataansvarlige betydelige omkostninger, som ikke i alle tilfælde vil stå mål med det udbytte, som registrerede personer vil have af at modtage underretning om, at der indsamles oplysninger om dem.

    Det foreslås derfor, at der ikke skal påhvile dataansvarlige en oplysningspligt i de situationer, hvor den registrerede allerede er bekendt med de oplysninger, som ellers ville skulle gives den pågældende.

    Endvidere anbefales det, at der ikke skal påhvile datansvarlige en oplysningspligt, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv.

    Herudover foreslås det, at der gøres undtagelse fra oplysningspligten med hensyn til domstolenes behandling af oplysninger inden for det strafferetlige område.

    Endelig anbefales det med hensyn til de tilfælde, hvor oplysninger indsamles hos en tredjemand, at der ikke skal påhvile dataansvarlige en oplysningspligt, hvis registreringen eller videregivelsen af oplysningerne udtrykkeligt er fastsat i lovgivningen. Tilsvarende gør sig gældende med hensyn til de tilfælde, hvor underretning af den registrerede viser sig umulig eller er uforholdsmæssig vanskelig.

    For så vidt angår det nærmere indhold af den dataansvarliges oplysningspligt over for den registrerede, herunder de foreslåede undtagelser hertil, henvises til betænkningen, side 293-304.

Den registreredes indsigtsret

    Udvalget foreslår, at en person, der fremsætter begæring herom, skal gives meddelelse om, hvorvidt der behandles oplysninger om den pågældende, og i givet fald på en let forståelig måde om, hvilke oplysninger der behandles. Herudover foreslås det - som noget nyt - at der skal gives den registrerede meddelelse om behandlingens formål, om kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer. Herved styrkes den registreredes indsigtsret i forhold til den gældende retstilstand.

    Endvidere foreslås det, at en dataansvarlig snarest og inden 4 uger efter modtagelsen af en begæring om indsigt skal besvare denne.

    Indsigtsretten bør efter udvalgets opfattelse ikke gælde ubetinget. Således foreslås det, at der - i lighed med den gældende retstilstand - ikke skal være ret til indsigt, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige eller private interesser, herunder hensynet til den pågældende selv.

    For at skabe sammenhæng mellem de foreslåede regler om indsigt og de gældende bestemmelser i offentlighedsloven om egenacces, jf. lovens § 4, stk. 2, anbefales det endvidere, at forvaltningsmyndigheder i samme udstrækning som efter den nævnte bestemmelse i offentlighedsloven skal kunne gøre undtagelse fra retten til indsigt. Herved sikres det, at det forhold, at oplysninger undergives elektronisk behandling i et tekstbehandlingssystem med henblik på udarbejdelse af f.eks. et internt notat m.v., ikke fører til, at registrerede personer kan opnå indsigt heri i videre udstrækning end, hvad der følger af offentlighedslovens regler om egenacces.

    Hvad særligt angår domstolene anbefales det, at de foreslåede regler vedrørende indsigtsretten ikke skal gælde for domstolenes behandling af oplysninger inden for det strafferetlige område. Udvalgets forslag skal på dette punkt ses på baggrund af, at der allerede i retsplejeloven (bl.a. i § 41) er fastsat regler herom.

    Til sikring af domstolenes interne beslutningsproces på andre områder end det strafferetlige, foreslås det endvidere, at der ikke skal være ret til indsigt i oplysninger i tekst, der ikke foreligger i endelig form. Hvis oplysningerne er videregivet til en tredjemand, finder udvalget dog, at den registrerede skal have ret til indsigt i oplysningerne.

    En særlig undtagelsesregel foreslås desuden med hensyn til oplysninger, som udelukkende behandles i videnskabeligt øjemed, ligesom det heller ikke anbefales, at der gives registrerede personer indsigtsret i oplysninger, som kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.

    Videre foreslås det, at justitsministeren med hensyn til behandling af oplysninger på det strafferetlige område, der foretages for offentlige myndigheder, ligesom i dag generelt skal kunne fastsætte undtagelser fra indsigtsretten, hvis det må antages, at begæringer om ret til indsigt i almindelighed må afslås.

    Endelig foreslås det, at en registreret person, der har fået indsigt i oplysninger om sig selv, ikke skal have krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri. Herved fastsættes samme frist for adgangen til fornyet indsigt i behandlinger af oplysninger, der foretages for henholdsvis private og offentlige dataansvarlige.

    Meddelelse af indsigt til en registreret person skal efter udvalgets opfattelse på forlangende gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, bør meddelelse dog kunne gives i form af en mundtlig underretning om indholdet af oplysningerne.

    Hvad endelig angår spørgsmålet om, hvorvidt der bør kunne kræves betaling i forbindelse med meddelelse af indsigt, er der ikke enighed i udvalget.

    Et flertal (16 medlemmer) finder, at der i lovgivningen bør indsættes en bestemmelse, der giver mulighed for administrativt at fastsætte bestemmelser om betaling i forbindelse med meddelelse af indsigt.

    Et mindretal (2 medlemmer) finder, at registrerede personers indsigtsret bør være omkostningsfri.

    For så vidt angår det nærmere indhold af den registreredes indsigtsret, herunder de foreslåede undtagelser hertil, henvises til betænkningen, side 304-317.

Den registreredes øvrige rettigheder

    Til styrkelse af registrerede personers retsstilling foreslår udvalget endelig, at der udformes regler om indsigelsesret og ret til berigtigelse, sletning eller blokering m.v.

Indsigelsesret

    Det foreslås, at en registreret person i et vist omfang skal have ret til at gøre indsigelse mod en i øvrigt lovlig behandling af oplysninger om vedkommende.

    Adgangen hertil bør dog efter udvalgets opfattelse ikke udstrækkes til de tilfælde, hvor adgangen til at behandle oplysninger er foreskrevet i lovgivningen, eller hvor behandlingen sker i statistisk eller videnskabeligt øjemed.

    Rækkevidden af den foreslåede betingede indsigelsesret er nærmere beskrevet i betænkningen, side 318 f.

    Udvalget foreslår endvidere, at der tillægges en registreret person ret til at gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling i markedsføringsøjemed.

    Til sikring af, at forbrugere kan udnytte indsigelsesretten, foreslås der tillige regler om, at den dataansvarlige - inden oplysninger om den registrerede første gang videregives til tredjemænd med henblik på markedsføring, eller inden oplysningerne første gang anvendes på vegne af tredjemænd i dette øjemed - skal underrette den pågældende herom.

    Det anbefales i den forbindelse også, at det skal påhvile en dataansvarlig, som udsender materiale med henblik på markedsføring eller giver underretning til en forbruger, udtrykkeligt at oplyse om retten til at gøre indsigelse mod behandlingen i markedsføringsøjemed.

    Rækkevidden af de rettigheder, som foreslås tillagt den registrerede i relation til behandling af oplysninger om den pågældende i markedsføringsøjemed, er beskrevet i betænkningen , side 271-274.

    Endvidere foreslår udvalget, at en dataansvarlig ikke skal kunne foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, hvis den registrerede fremsætter indsigelse herimod.

    Udvalget foreslår enkelte undtagelser hertil. Samtidig foreslås det dog, at den registrerede skal have ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en edb-baseret afgørelse, som den pågældende efter udvalgets forslag kan gøre indsigelse imod.

    Om rækkevidden af den registreredes rettigheder i relation til edb-behandlede individuelle afgørelser henvises til betænkningen, side 319 f.

Berigtigelse, sletning og blokering

    Udvalget foreslår endelig, at det skal påhvile den dataansvarlige at berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

    Samtidig foreslås det, at den dataansvarlige i givet fald skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret, hvis en registreret person fremsætter anmodning herom. Dette skal dog efter udvalgets opfattelse ikke gælde, hvis underretningen viser sig umulig eller er uforholdsmæssig vanskelig.

    Der henvises nærmere til betænkningen, side 320- 323, hvor rækkevidden af disse rettigheder er beskrevet.

4.2.5.3. Justitsministeriets forslag

Generelt om udvalgets forslag

    Justitsministeriet kan generelt tilslutte sig udvalgets anbefalinger med hensyn til, hvilke rettigheder der - på baggrund af direktivets artikel 10-15 - skal tillægges registrerede personer.

    Udvalgets forslag indebærer, at der sker en styrkelse af den registreredes retsstilling. Således skaber forslaget om den udvidede indsigtsret og de foreslåede regler om den dataansvarliges oplysningspligt større åbenhed omkring behandlingen af oplysninger og er dermed medvirkende til at sikre et højt beskyttelsesniveau. Hertil kommer, at der - som noget nyt - gives registrerede personer adgang til at gøre indsigelse over for behandling af oplysninger.

    Ud fra de hensyn, som udvalget har anført, finder Justitsministeriet ikke, at de rettigheder, som tillægges registrerede personer, bør gøres ubetingede. De undtagelser, som udvalget foreslår, skaber efter Justitsministeriets opfattelse en rimelig balance mellem på den ene side hensynet til den registrerede og på den anden side hensynet til andre beskyttelsesværdige interesser, herunder bl.a. til, at der ikke pålægges de dataansvarlige for vidtgående byrder i forbindelse med behandlingen af oplysninger.

    Justitsministeriet kan derfor med visse ændringer tiltræde de af udvalget foreslåede undtagelsesregler.

    I det følgende behandles nogle særlige spørgsmål, der vedrører de registreredes rettigheder.

Politiets og anklagemyndighedens behandling af oplysninger inden for det strafferetlige område

    I sit høringssvar over betænkningen foreslår Rigsadvokaten, at undtagelsesreglen i udvalgets lovudkasts § 2, stk. 2, hvorefter reglerne om den registreredes rettigheder ikke finder anvendelse på domstolenes behandling af oplysninger inden for det strafferetlige område, også bør gælde for politiet og anklagemyndigheden.

    Rigsadvokaten anfører, at politiets og anklagemyndighedens behandling af personoplysninger inden for det strafferetlige område - ligesom det er tilfældet med hensyn til domstolenes virksomhed - er reguleret i retsplejeloven. Rigsadvokaten bemærker i den forbindelse, at den sigtedes adgang til aktindsigt i en verserende straffesag reguleres af retsplejelovens § 745, stk. 1. Herefter har den sigtede adgang til - gennem sin forsvarer - at gøre sig bekendt med oplysningerne i straffesagen, medmindre forsvareren af hensyn til efterforskningen undtagelsesvis af politiet er pålagt ikke at videregive de oplysninger, som vedkommende har modtaget fra politiet, jf. § 745, stk. 4.

    Endvidere anfører Rigsadvokaten, at bestemmelserne i udvalgets lovudkasts §§ 28 og 29 om den dataansvarliges oplysningspligt over for den registrerede er udtryk for en meget vidtgående udvidelse af gældende ret, der ikke direkte følger af direktivet. Rigsadvokaten finder, at undtagelsesbestemmelsen i lovudkastets § 30, stk. 2 - henset til oplysningernes karakter - i almindelighed må forventes at skulle bringes i anvendelse, og under alle omstændigheder på det indledende stadium af en efterforskning. Da bestemmelsen indebærer, at der skal foretages en konkret vurdering i hvert enkelt tilfælde, må bestemmelsen efter Rigsadvokatens opfattelse forventes at medføre en unødvendig og betydelig administrativ belastning af politiet og anklagemyndigheden. Rigsadvokaten finder derfor, at det bør overvejes i stedet at gøre en generel undtagelse med hensyn til oplysningspligten for så vidt angår politiets og anklagemyndighedens aktiviteter på det strafferetlige område, i hvert fald for så vidt angår de indledende stadier af en efterforskning.

    Endelig anfører Rigsadvokaten, at den af udvalget foreslåede regel om den registreredes ret til, hvor vægtige grunde, der vedrører den pågældendes særlige situation, taler derfor, at gøre indsigelse mod visse former for lovlig behandling af oplysninger, også er en meget vidtgående udvidelse af gældende ret. I den forbindelse bemærker Rigsadvokaten, at heller ikke denne regel er en direkte følge af direktivet. Rigsadvokaten finder, at det - henset til oplysningernes karakter - i almindelighed ikke kan forventes, at der vil kunne gøres indsigelse mod politiets eller anklagemyndighedens behandling af oplysninger i forbindelse med behandlingen af en straffesag.

    På baggrund af det, som Rigsadvokaten anfører, finder Justitsministeriet, at politiets og anklagemyndighedens virksomhed på det strafferetlige område bør undtages fra reglerne i lovforslagets kapitel 8 og §§ 35-37 og § 39 om henholdsvis den dataansvarliges oplysningspligt over for den registrerede og om den registreredes øvrige rettigheder.

    Justitsministeriet finder derimod ikke, at der generelt bør gøres undtagelse med hensyn til den registreredes indsigtsret i behandlinger, der foretages for politiet og anklagemyndigheden inden for det strafferetlige område. Der bør i fremtiden - som efter den gældende registerlovgivning - i et vist omfang være adgang til indsigt i politiets og anklagemyndighedens edb-registre, herunder navnlig Det Centrale Kriminalregister.

    Det bemærkes i den forbindelse, at de af udvalget foreslåede undtagelsesregler til indsigtsretten sikrer, at der ikke skal gives registerindsigt i tilfælde, hvor det f.eks. kan skade efterforskningen.

Betaling for registerindsigt

    Justitsministeriet kan tilslutte sig udvalgsflertallets synspunkter, hvorefter der bør kunne opkræves betaling for skriftlige meddelelser af registerindsigt.

    Justitsministeriet finder dog, at der alene bør være mulighed for administrativt at fastsætte bestemmelser herom vedrørende den private sektor. Det kan i den forbindelse nævnes, at det er hensigten ved lovens ikrafttræden at udstede en bekendtgørelse med udgangspunkt i reglerne i bekendtgørelse nr. 123 af 11. marts 1988 om betaling for skriftlige meddelelser om indholdet af private edb-registre. Heri er bl.a. fastsat, at gebyret udgør 10 kr. for hver påbegyndt side. Betalingen kan dog ikke overstige 200 kr. I den private sektor vil der således også fremover kunne kræves et ekspeditionsgebyr for skriftlige meddelelser af indsigt.

Indsigelsesret

    Justitsministeriet kan i det væsentlige tilslutte sig udvalgets forslag om, at den registrerede når vægtige grunde, der vedrører den pågældendes særlige situation, taler derfor skal kunne gøre indsigelse mod, at oplysninger om den pågældendes gøres til genstand for behandling i medfør af lovforslagets § 6, nr. 5-7.

    Efter Justitsministeriets opfattelse bør den dataansvarliges pligt til efter omstændighederne af ophøre med en i øvrigt lovlig behandling, som den registrerede har gjort indsigelse imod, i princippet ikke være begrænset til behandlinger, der foretages i medfør af bestemmelserne i § 6, nr. 5-7.

    Justitsministeriet finder endvidere, at informative grunde taler for, at det fremgår direkte af lovteksten, at den registrerede til enhver tid kan gøre indsigelse mod en behandling, således at den dataansvarlige er forpligtet til at tage stilling til, om indsigelsen er berettiget.

Markedsføring

    Justitsministeriet er enig med udvalget i, at den registrerede skal have afgørende indflydelse på, i hvilket omfang der behandles personoplysninger om den pågældende med henblik på markedsføring.

    Justitsministeriet finder imidlertid, at den registreredes rettigheder på dette punkt bør styrkes i forhold til det, som udvalget har lagt op til, og som er lagt til grund i L 44.

    Endvidere finder Justitsministeriet, at adgangen til at foretage direkte uanmodet markedsføring ikke bør reguleres i loven om behandling af personoplysninger, men i markedsføringsloven. Det skyldes bl.a., at de fremtidige regler herom ikke kun skal gennemføre direktivet om behandling af personoplysninger, men også direktiv 97/7/EF om forbrugerbeskyttelse i forbindelse med aftaler vedrørende fjernsalg (fjernsalgsdirektivetet) og direktiv 97/66/EF om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren (ISDN-direktivet). Regeringen agter derfor snarest at fremsætte et forslag til ændring af markedsføringsloven, der vil indebære en samlet gennemførelse af de tre direktivers bestemmelser om direkte uanmodet markedsføring.

    Lovforslaget om behandling af personoplysninger indeholder på den anførte baggrund alene regler om adgangen til at videregive oplysninger til andre virksomheder til brug ved de andre virksomheders markedsføring (og anvende oplysningerne på andre virksomheders vegne), jf. lovforslagets § 6, stk. 2-4, og § 36.

    Efter den gældende retstilstand kan en virksomhed kun videregive oplysninger om en forbruger til en anden virksomhed til brug for markedsføring, hvis forbrugeren giver sit udtrykkelige samtykke hertil, jf. pkt. 4.2.4.1 ovenfor. Denne retstilstand vil næppe fuldt ud kunne opretholdes på grundlag af direktivet om behandling af personoplysninger.

    Justitsministeriet finder derfor, at der bør fastsættes særlige regler om videregivelse af oplysninger i markedsføringsøjemed, som på en gang i videst muligt omfang viderefører den gældende retstilstand og er i overensstemmelse med direktivet. Lovforslagets ordning herom går i korthed ud på følgende, jf. lovforslagets § 6, stk. 2-4, og § 36:

Der må uden samtykke alene videregives »generelle kundeoplysninger«, og betingelserne i lovforslagets § 6, stk. 1, nr. 7, er opfyldt.

Sådanne oplysninger må dog ikke videregives, hvis forbrugeren har gjort indsigelse mod videregivelsen. Det bemærkes herved, at indenrigsministeren snarest vil fremsætte forslag om ændring af lovforslaget om Det Centrale Personregister (CPR), således at der skabes mulighed for, at det gebyrfrit kan registreres i CPR, at en forbruger (eller anden fysisk person) generelt ikke ønsker at modtage henvendelser i markedsføringsøjemed, heller ikke fra erhvervsdrivende, hos hvem den pågældende er kunde.

Den erhvervsdrivende skal derfor inden en sådan videregivelse finder sted tjekke i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.

De forbrugere, der ikke har benyttet CPR-muligheden, skal den erhvervsdrivende kontakte, inden oplysningerne om dem videregives til andre virksomheder. Den erhvervsdrivende skal oplyse dem om indsigelsesretten og give dem mindst 14 dage til at gøre indsigelse på en nem måde. Først herefter må oplysningerne videregives, hvis forbrugeren vel og mærke ikke har gjort indsigelse.

Den virksomhed, der modtager oplysningerne, skal i øvrigt leve op til de krav til direkte uanmodet markedsføring, der vil blive fastsat i markedsføringsloven.

Indsigtsret hos domstolene

    Præsidenten for Højesteret har over for Justitsministeriet rejst spørgsmål om betydningen af indsigtsreglerne i L 44 i relation til Højesterets voteringsprotokoller m.v. Spørgsmålet er særligt rejst i forhold til bestemmelsen i § 32, stk. 3, i L 44, hvorefter der ikke er ret til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne indgår i tekst, der ikke foreligger i endelig form. Dette gælder dog ikke,hvis oplysningerne er videregivet til en tredjemand.

    Det anføres i præsidentens henvendelse, at Højesterets voteringer som bekendt ikke er offentligt tilgængelige. Det anføres videre, at voteringen i de mundtligt behandlede sager refereres af en dommerfuldmægtig og derefter samles i voteringsprotokoller. I de skriftligt behandlede sager udarbejder en dommerfuldmægtig et referat. Voteringen sker herefter på grundlag af referatet.

    Præsidenten for Højesteret peger på, at det fremgår af bemærkningerne til § 32, stk. 3, i L 44, at bestemmelsen sigter på den situation, at de oplysninger, som der begæres indsigt i, er under bearbejdning i form af, at oplysningerne indgår i »et udkast m.v.«. Det synes derfor noget tvivlsomt, om Højesterets voteringsprotokoller m.v., der ikke har karakter af udkast, vil være omfattet af § 32, stk. 3, i L 44. Da det er af væsentlig betydning, at der ikke er indsigtsret i det nævnte materiale, anmoder præsidenten om, at Justitsministeriet foranlediger, at det ved ændringsforslag gøres klart, at materialet er undtaget for indsigtsretten.

    Justitsministeriet er enig med Præsidenten for Højesteret i, at der kan rejses tvivl om, hvorvidt Højesterets voteringsprotokoller m.v. vil være undtaget fra indsigtsretten efter § 32, stk. 3, i L 44.

    I lovforslagets § 32, stk. 3, 3. pkt., er der derfor indsat en bestemmelse om, at registrerede personer ikke har ret til indsigt (egenacces) i oplysninger i voteringsprotokoller og andre referater af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for rådslagningen.

Tilbagekaldelse af samtykke

    Justitsministeriet finder, at det for at fjerne enhver tvivl bør fremgå af selve lovteksten, at en registreret person kan tilbagekalde et meddelt samtykke til behandling af oplysninger om den pågældende (se hertil lovforslagets § 38).

Klageadgang til tilsynsmyndigheden

    Justitsministeriet finder af informative grunde at det bør fremgå udtrykkeligt af lovens kapitel om den registreredes (øvrige) rettigheder, at den registrerede har adgang til at klage over behandling af personoplysninger vedrørende den pågældende. Se hertil lovforslagets § 40.

4.2.6. Behandlingssikkerhed

4.2.6.1. Gældende ret

A. Lov om offentlige myndigheders registre

    Efter lovens § 12, stk. 1, skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysninger misbruges eller kommer til uvedkommendes kendskab.

    Sikkerhedsforanstaltningerne skal efter bestemmelsens stk. 2 om fornødent omfatte kopier og udskrifter af registeret, herunder kopier og udskrifter, der er videregivet til andre myndigheder. For registre, der indeholder oplysninger af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

    Den generelle bestemmelse i § 12, stk. 1, er nærmere præciseret i Registertilsynets standardforskrifter, som er omtalt nedenfor under pkt. 4.2.7.1. Offentlige myndigheders anvendelse af standardforskrifterne har medvirket til, at myndighederne generelt har etableret et ensartet - og højt - sikkerhedsniveau for deres registre.

    I praksis arbejdes der med tre forskellige former for sikkerhedsgrupper (gruppe 1, 2 og 3), hvis indhold er fastlagt under hensyn til behovet for beskyttelse af de oplysningstyper (data), der ønskes registreret på edb. Indplacering af et register i en af de tre sikkerhedsgrupper sker således på grundlag af en vurdering af karakteren af de oplysninger, som indgår i registeret. Registre med oplysninger om enkeltpersoners rent private forhold, jf. lovens § 9, stk. 2, indplaceres i sikkerhedsgruppe 3, medens økonomi-, skatte- og journalregistre typisk indplaceres i sikkerhedsgruppe 2. Registre med ikke- fortrolige oplysninger indplaceres i sikkerhedsgruppe 1, hvor der ikke stilles krav om logning og registrering af uautoriserede adgangsforsøg. For registre, som opfylder betingelserne for oprettelse uden fastsættelse af forskrifter, forudsættes etableret sikkerhedsforanstaltninger som for registre i sikkerhedsgruppe 1, eventuelt med udeladelse af benyttelsesstatistik.

    Bestemmelserne i standardforskrifternes kapitel om sikkerhedsforanstaltninger i forbindelse med anvendelse af registeret sikrer, at der i den samlede sikkerhed for registre i de højeste sikkerhedsgrupper, gruppe 2 og 3, indgår følgende sikkerhedselementer:

En formel autorisation af brugere af registeret, baseret på en forudgående vurdering af den enkelte brugers behov i forbindelse med dennes udførelse af sit arbejde.

Et adgangskontrolsystem, baseret på tildeling af en personlig og fortrolig autorisationskode til den enkelte, autoriserede bruger, hvilket har til formål at sikre, at kun autoriserede brugere får adgang til registerets oplysninger.

En benyttelsesstatistik, der ved udskrivning mindst hvert halve år giver den sikkerhedsansvarlige mulighed for at følge op på anvendelsen af de udstedte autorisationer, således at ikke anvendte autorisationer kan blive inddraget.

En logning af alle transaktioner, hvorved der etableres et »revisionsspor«, som giver mulighed for på detailniveau at efterforske en (autoriseret) brugers anvendelse af registeret, f.eks. i tilfælde af opstået tvivl om, hvorvidt anvendelsen har været tjenstligt begrundet. Samtidig tillægges det en præventiv virkning, når brugerne er vidende om, at deres anvendelse af registeret logges på detailniveau. Det bemærkes, at der i bestemmelserne ikke indgår krav om rutinemæssig udskrivning af loggen.

Registrering af uautoriserede adgangsforsøg, hvilket giver mulighed for at konstatere, om uautoriserede personer har forsøgt at skaffe sig adgang til registeret.

    Udover de ovenfor nævnte sikkerhedselementer, der retter sig mod brugernes anvendelse af registeret, vil der for edb-centraler og offentlige myndigheders egne større edb-anlæg, hvor et register føres, være udarbejdet en sikkerhedsforskrift, som indgår i forskrifterne for det pågældende register. Sikkerhedsforskriften indeholder i almindelighed afsnit om sikkerhedsorganisation m.v., om bygningsmæssige forhold, om organisatoriske og personalemæssige forhold, samt om administrative og systemtekniske forhold.

    For en redegørelse for det nærmere indhold af sikkerhedsforskriften henvises til betænkningen, side 83 f.

    I forskrifterne for registre, som føres på mindre edb-anlæg, f.eks. på en pc, vil der ligeledes indgå en sikkerhedsforskrift for edb-anlægget, hvor registeret føres. En sådan sikkerhedsforskrift vil berøre de samme hovedområder, men vil typisk være mindre omfattende.

    En særlig bestemmelse vedrørende sikkerhed, som standardmæssigt indgår i forskrifterne for offentlige myndigheders registre, er en bestemmelse, hvorefter den pågældende myndighed skal fastsætte nærmere regler - de såkaldte uddybende regler - til supplering og uddybning af de regler, som er indeholdt i registerforskrifterne.

    Registerforskrifterne er i henhold til loven offentligt tilgængelige, og dermed er sikkerhedsbestemmelserne, som er anført i registerforskrifterne, det også. Herved er der for så vidt angår bestemmelser af sikkerhedsmæssig karakter mulighed for offentligheden for at danne sig et indtryk af det sikkerhedsniveau, der er etableret for det pågældende register. Dette forhold sætter en grænse for, hvor detaljeret de sikkerhedsmæssige bestemmelser i registerforskrifterne kan udformes, og bestemmelserne har derfor i vid udstrækning karakter af rammebestemmelser.

    De uddybende regler er således en dokumentation af, hvorledes den pågældende myndighed har valgt at opfylde de sikkerhedsmæssige bestemmelser i registerforskrifterne. Reglerne indgår ikke som sådan i registerforskrifterne, men skal indsendes til Registertilsynet og er i øvrigt ofte klassificeret som ikke offentligt tilgængelige.

    Omfanget af disse uddybende regler fremgår direkte af bestemmelsen herom i registerforskriften, idet det her er anført, at reglerne navnlig skal omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger, samt retningslinier for myndighedens eget tilsyn med overholdelsen af de sikkerhedsbestemmelser, der er fastsat for myndigheden.

B. Lov om private registre

    Ifølge lovens § 6, stk. 4, skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysninger i et edb-register misbruges eller kommer til uvedkommendes kendskab. Bestemmelsen er formuleret på samme måde som reglen i lov om offentlige myndigheders registre § 12, stk. 1.

    For så vidt angår private virksomheder m.v., er der ikke krav om fastsættelse af registerforskrifter, hvorfor der ikke findes et tilsvarende sæt af formelt fastsatte sikkerhedsbestemmelser for private virksomheders edb-registre. I tilfælde, hvor Registertilsynet skal foretage en vurdering af en privat virksomheds edb- sikkerhed, vil der således være tale om en konkret vurdering efter § 6, stk. 4, hvor tilsynet vil tage udgangspunkt i de ovenfor omtalte bestemmelser, som gælder for offentlige myndigheder.

    Det følger af § 7, at bestemmelserne i § 6 gælder, uanset om registeret underkastes elektronisk databehandling i udlandet. Bestemmelsen har til formål at sikre, at de retsgarantier, der følger af § 6, ikke ophører, fordi registeret underkastes elektronisk databehandling i udlandet.

    Herudover har tilsynet mulighed for i henhold til § 23, stk. 6, at pålægge virksomheden m.v. bl.a. at foretage nærmere angivne foranstaltninger til sikring af eller forebyggelse mod, at de registrerede oplysninger misbruges eller kommer til uvedkommendes kendskab.

    For så vidt angår de særlige regler, herunder om sikkerhedsforanstaltninger, for edb-servicebureauer henvises til betænkningen, side 128.

4.2.6.2. Udvalgets overvejelser

    I betænkningen, side 323-328, er redegjort for udvalgets overvejelser vedrørende behandlingssikkerhed. Udvalgets overvejelser tager udgangspunkt i direktivets artikel 16 og 17 om »fortrolighed og behandlingssikkerhed.«

    På baggrund af direktivets artikel 16 foreslår udvalget, at der i den kommende lov om behandling af personoplysninger indsættes en bestemmelse om, at personer, virksomheder m.v., som udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.

    Udvalget foreslår endvidere, at der i loven indsættes en bestemmelse om, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Baggrunden herfor er bestemmelsen i direktivets artikel 17.

    Udvalget finder, at sikkerhedsforanstaltningerne grundlæggende bør indeholde følgende elementer: Fysisk sikkerhed, organisatoriske forhold, systemtekniske forhold, samt uddannelse og instruktion. Udvalget peger navnlig på følgende sikkerhedsforanstaltninger, der - alt efter omstændighederne - kan komme på tale: Sikring af bygninger og lokaler, formel autorisation af brugerne, adgangskoder (password), benyttelsesstatistik, logning af transaktioner, registrering af uautoriserede adgangsforsøg, kryptering, regler for udskrifter, regler for destruktion, uddannelse samt tilsyn.

    Det vil efter udvalgets opfattelse ikke være praktisk muligt i lovteksten at angive de sikkerhedsforanstaltninger, som skal iværksættes, da dette vil afhænge af flere faktorer og vil ændre sig over tid. Derfor foreslår udvalget i stedet indsat en bestemmelse om, at justitsministeren fastsætter nærmere regler om sikkerhedsforanstaltningerne. I den forbindelse forudsættes det, at fastsættelsen af sådanne regler sker efter høring af relevante myndigheder, organisationer m.v., samt eventuelle andre relevante organer, f.eks. IT-sikkerhedsrådet.

    Om kravene til behandlingssikkerhed hos en databehandler henvises til betænkningen, side 327 f.

4.2.6.3. Justitsministeriets forslag

    Justitsministeriet kan tilslutte sig udvalgets forslag til regulering af spørgsmålet om behandlingssikkerhed m.v.

    Justitsministeriet kan således tilslutte sig udvalgets forslag om, at der skal indføres regler om, at personer m.v., som udfører arbejde under den dataansvarlige eller databehandlingen, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov. Justitsministeriet finder dog, at det for at undgå enhver tvivl i selve lovteksten bør præciseres, at instruksen ikke må begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt.

    I overensstemmelse med udvalgets forslag foreslås det endvidere, at fastlæggelsen af de overordnede rammer med hensyn til behandlingssikkerheden sker i selve loven, jf. lovforslagets § 41, stk. 3. Det skal understreges, at bestemmelsen - i modsætning til de gældende bestemmelser i lov om offentlige myndigheders registre og lov om private registre - tillige gælder for oplysninger, som indgår i manuelle registre, og for anden manuel systematisk behandling, jf. nærmere lovforslagets § 1, stk. 1 og 2.

    Justitsministeriet finder ikke, at det herudover vil være praktisk muligt i lovteksten at angive de nærmere sikkerhedsforanstaltninger, som skal iværksættes i de forskellige sektorer. Det tiltrædes derfor, at justitsministeren får adgang til efter høring af tilsynsmyndighederne samt andre relevante myndigheder, organisationer m.v. at fastsætte nærmere regler herom.

    Ved fastsættelsen af de nærmere regler om behandlingssikkerhed finder Justitsministeriet, at der bør tages udgangspunkt i den nugældende praksis. Der lægges herved bl.a. vægt på, at direktivet forudsætter, at den indbyrdes tilnærmelse af lovgivningerne ikke må medføre en forringelse af den beskyttelse, disse yder, men tværtimod skal have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet.

    I lyset heraf vil der i forbindelse med udstedelsen af administrative bestemmelser om det fremtidige sikkerhedsniveau blive foretaget en afvejning af på den ene side det aktuelle tekniske niveau og omkostningerne i forbindelse med foranstaltningernes iværksættelse og på den anden side de risici, som behandlingen indebærer, samt hvilke oplysningstyper der er tale om. Dette kræves også efter direktivets artikel 17, stk. 1, 2. afsnit.

4.2.7. Anmeldelse af behandlinger

4.2.7.1. Gældende ret

A. Lov om offentlige myndigheders registre

Oprettelse og ibrugtagning af registre

    Det følger af lovens kapitel 2, at der som udgangspunkt skal foreligge en politisk godkendelse, forinden et register oprettes.

    Registre, der føres for en statslig myndighed, må således kun oprettes i henhold til godkendelse af vedkommende minister efter forhandling med finansministeren (nu forskningsministeren), medens registre der føres for en kommunal myndighed kun må oprettes i henhold til beslutning, der træffes af vedkommende kommunalbestyrelse.

    Det er endvidere hovedreglen, at der - inden oprettelsen - skal fastsættes forskrifter om det pågældende registers opbygning og drift. Forskrifterne skal inden fastsættelsen forelægges Registertilsynet til udtalelse.

    Registertilsynet har - som tidligere nævnt - udarbejdet standardforskrifter. Standardforskrifterne er blevet udarbejdet efter drøftelser med bl.a. de kommunale sammenslutninger og har siden dannet grundlag for alle myndigheders fastsættelse af registerforskrifter, således at disse fremtræder med en betydelig ensartethed, både hvad angår indhold og udformning.

    Forskrifterne omfatter typisk 10-20 sider, hvoraf de 3-5 sider er en beskrivelse af det konkrete register. Herudover indeholder forskrifterne en gengivelse af lovens bestemmelser i relation til registerindsigt, videregivelse, sikring af, at der ikke indføres urigtige oplysninger samt af Registertilsynets krav til sikkerhedsforanstaltninger. Vedrørende det nærmere indhold af forskrifterne henvises til betænkningen, side 76 f.

    Der var pr. 1. november 1997 fastsat forskrifter for ca. 4.100 registre.

Særligt om fælleskommunale registre

    Reglerne for fælleskommunale registre er i hovedtræk de samme som dem, der er nævnt ovenfor. Fælleskommunale registre er en betegnelse for registre eller systemer af registre, som er indrettet med henblik på at kunne føres for kommunale myndigheder fra flere kommuner, og hvis oprettelse er godkendt af forskningsministeren. Forskningsministeren skal - forinden en kommunal myndighed kan tilslutte sig - have fastsat registerforskrifter for vedkommende register. Forinden forskrifterne fastsættes, skal der indhentes en udtalelse fra Registertilsynet. En kommunalbestyrelse eller den, kommunalbestyrelsen bemyndiger dertil, kan bestemme, at kommunen tilslutter sig et fælleskommunalt register. Beslutningen skal inden 4 uger meddeles Registertilsynet, der har udfærdiget en særlig blanket til brug herfor.

    Der var pr. 1. november 1997 oprettet ca. 80 fælleskommunale registre, til hvilke der er indsendt i alt ca. 7.300 meddelelser om tilslutning.

    Om fælleskommunale registre henvises nærmere til betænkningen, side 78 f.

Anmeldelse af registre

    Lovens kapitel 2 a indeholder en række undtagelser fra kravet om fastsættelse af forskrifter og forudgående udtalelse fra Registertilsynet. Reglerne i kapitel 2 a berører derimod som udgangspunkt ikke kravet om politisk godkendelse af registrene.

    Registre, som ikke indeholder oplysninger af fortrolig karakter, er efter § 8 a, stk. 1 (statslige registre), og 8 b, stk. 1 og 6 (enkelt- og fælleskommunale registre), undtaget fra kravet om fastsættelse af forskrifter. I sådanne registre kan der uden fastsættelse af forskrifter endvidere registreres identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed, jf. § 8 a, stk. 2, og 8 b, stk. 2.

    Der skal ske anmeldelse til Registertilsynet af registre, som ikke er omfattet af kravet om fastsættelse af forskrifter. Anmeldelsen skal indeholde oplysning om registrenes formål, personkreds, dataindhold og størrelse, jf. § 8 a, stk. 3, og § 8 b, stk. 5 og 6. Anmeldelsen sker på særlige blanketter, som er udfærdiget af tilsynet, jf. § 8 c.

    Der er ikke efter lovens kapitel 2 a krav om forudgående anmeldelse.

    Efter lovens § 8 e kan justitsministeren efter indhentet udtalelse fra Registertilsynet fastsætte regler om, at bestemte typer af registre undtages fra kravet om fastsættelse af forskrifter. Enkelt- og fælleskommunale registre kan tillige undtages fra kravet om politisk godkendelse. Bestemmelsen gælder dog ikke registre, der indeholder oplysninger om rent private forhold, jf. § 9, stk. 2.

    Justitsministeriet har i medfør af bestemmelsen udstedt bekendtgørelse nr. 872 af 17. december 1991 om undtagelse af visse typer af offentlige edb-registre fra forskriftskravet.

    I bekendtgørelsen er undtaget bestemte registertyper, herunder miljøsystemer, personaleadministrationssystemer, undervisningssystemer, bibliotekssystemer, civilforsvarssystemer m.v., erhvervsregistre samt offentlige servicesystemer. Bekendtgørelsen indeholder nærmere bestemmelser om, hvilke oplysningstyper der må indgå i registrene. Indgår der andre fortrolige oplysninger end dem, som er opregnet i bekendtgørelsen, skal der fastsættes forskrifter for registrene.

    Der var pr. 1. november 1997 foretaget anmeldelse af ca. 8.120 registre efter § 8 a og b, hvoraf ca. 1.160 er blevet afvist. Der er endvidere foretaget anmeldelse af ca. 1.460 registre efter § 8 e, hvoraf ca. 80 er blevet afvist.

B. Lov om private registre

    Der er ikke i loven fastsat generelle regler om, at private registre skal anmeldes. Dog skal der i visse særlige tilfælde ske anmeldelse eller indhentes tilladelse, før en registrering, overladelse eller videregivelse af oplysninger kan finde sted.

    Der gælder et krav om forudgående anmeldelse for så vidt angår:

Registre, der alene oprettes til videnskabelige eller statistiske formål, jf. § 2, stk. 3.

Kreditoplysningsbureauer, jf. § 8.

Virksomheder, der erhvervsmæssigt yder bistand ved stillingsbesættelse, jf. Justitsministeriets bekendtgørelse nr. 523 af 11. august 1986 § 1.

Private edb-servicebureauer, jf. § 20, stk. 1.

Edb-registre, der indeholder følsomme oplysninger, jf. § 3, stk 4, jf. dog det nedenfor anførte.

    Anmeldelsespligten for registre, der indeholder følsomme oplysninger, jf. 3, stk. 4, gælder ikke registre, der føres af foreninger og lignende i det omfang, registeret alene omfatter oplysninger om foreningens medlemmer. Der er endvidere i Justitsministeriets bekendtgørelse nr. 121 af 11. marts 1988 fastsat visse yderligere undtagelser fra anmeldelsespligten efter § 3, stk. 4. Om det nærmere indhold af bekendtgørelsen henvises til betænkningen, side 126.

    Herudover gælder der et krav om forudgående tilladelse for så vidt angår:

Undtagelse af retsinformationssystemer helt eller delvis fra lovens bestemmelser, jf. § 2, stk. 9, 1. pkt.

Undtagelse fra registreringsforbudet i § 3, stk. 2, jf. § 3, stk. 3.

Oprettelse af advarselsregistre, jf. § 3, stk. 6.

Undtagelse fra videregivelsesforbudet i § 4, stk. 1, 1. pkt., jf. § 4, stk. 1, 2. pkt.

Samkøring af forskellige virksomheders registre, jf. § 4, stk. 5.

Automatisk registrering af telefonnumre, jf. § 7 f, stk. 1, 2. pkt.

Overførsel af oplysninger til udlandet, jf. § 21, stk. 1 og 2.

    Pr. 1. november 1997 var der anmeldt ca. 2.460 igangværende forsknings- og statistikregistre, 17 kreditoplysningsbureauer, 47 advarselsregistre, heraf 32 spærrelister i forbindelse med betalingssystemer, samt 93 virksomheder, som yder bistand ved stillingsbesættelse.

    Om de særlige regler om anmeldelse af massemediers informationsdatabaser henvises til betænkningen, side 127 og 132 f, samt pkt. 4.2.10.1. nedenfor.

4.2.7.2. Udvalgets overvejelser

    I betænkningen, side 329-349, er redegjort for udvalgets overvejelser vedrørende anmeldelse af behandlinger over for tilsynsmyndigheden, om kontrol af disse, samt om førelse af fortegnelser over behandlinger.

    Overvejelserne tager udgangspunkt i direktivets artikel 18-21 om anmeldelse.

    Herudover har udvalget ved udformningen af sit forslag til en ny anmeldelsesordning taget hensyn til, at etableringen af en anmeldelsesprocedure tjener en række formål.

    Det gælder således bl.a. hensynet til at gøre en behandlings formål samt dens vigtigste karakteristika offentligt kendt med henblik på kontrol af behandlingernes overensstemmelse med loven. Herved tilvejebringes gennemskuelighed for borgerne, hvilket styrker borgernes muligheder for at gøre deres rettigheder ifølge loven gældende.

    Hertil kommer hensynet til at sikre, at vedkommende tilsynsmyndighed får det fornødne indseende med, hvilke typer af behandlinger som foretages for offentlige eller private dataansvarlige såvel konkret som i almindelighed. Herved styrkes vedkommende tilsynsmyndigheds muligheder for at føre et effektivt tilsyn.

    På baggrund af sine overvejelser foreslår udvalget, at der - ligesom efter den nuværende registerlovgivning - fastsættes forskellige anmeldelsesordninger for behandlinger af oplysninger, der foretages for henholdsvis den offentlige forvaltning og den private sektor. Hvad særligt angår domstolene, der som noget nyt foreslås inddraget under lovens område, anbefaler udvalget, at disse skal foretage anmeldelse til tilsynsmyndigheden efter samme regler som den offentlige forvaltning.

    De foreslåede anmeldelsesordninger har på en række punkter fællestræk.

    Efter ordningerne skal der som udgangspunkt ske forudgående anmeldelse af behandling af oplysninger til vedkommende tilsynsmyndighed.

    Herfra gøres undtagelse med hensyn til nærmere bestemte former for behandlinger.

    For visse af de behandlinger, som skal anmeldes forudgående til tilsynsmyndigheden, foreskrives det, at der skal ske forudgående kontrol fra tilsynsmyndighedens side, før selve behandlingen kan iværksættes. Det vil sige, at behandlingen først kan iværksættes efter udtalelse/tilladelse fra tilsynsmyndigheden.

A. Behandlinger, der udføres for den offentlige forvaltning

Kravet om politisk godkendelse

    Udvalget foreslår, at kravet om politisk godkendelse ophæves.

    Godkendelseskravet, der blev indsat i forbindelse med vedtagelsen af hovedloven i 1978, bygger på en forudsætning om, at oprettelsen af edb-registre kan have indgribende betydning for borgerne, hvorfor det bør være et politisk ansvarligt organ, som træffer beslutning om oprettelsen af sådanne registre. Når henses til den teknologiske udvikling siden 1978, herunder fremkomsten af pc'en, og det store antal registre, der er blevet oprettet, er det udvalgets opfattelse, at en opretholdelse af kravet om politisk godkendelse vil være unødigt bureaukratisk i forhold til det hensyn, som ønskedes varetaget ved indførelsen af kravet.

    Udvalget bemærker i den forbindelse, at en minister eller kommunalbestyrelse altid vil have mulighed for at beslutte, at kun denne skal kunne træffe afgørelse om oprettelse af registre.

Fastsættelse af forskrifter

    Udvalget foreslår endvidere, at den nuværende ordning med fastsættelse af registerforskrifter i den offentlige forvaltning afskaffes. I den forbindelse anfører udvalget, at direktivet hverken kræver eller udelukker en ordning med registerforskrifter.

    Udvalget lægger vægt på, at registerforskrifter for en væsentlig del består af gentagelser af lovens bestemmelser samt mere eller mindre enslydende sikkerhedsregler. Den egentlige beskrivelse af det konkrete register i registerforskriften udgør som oftest ikke mere end ca. 3-5 sider samt et bilag med en opregning af oplysningstyper.

    Det er endvidere udvalgets opfattelse, at der med den kraftige stigning i anvendelsen af edb og dermed det øgede kendskab til lovgivningen på området, ikke længere kan antages at være så stort et behov for en samlet beskrivelse i en registerforskrift af såvel det konkrete register som de generelle regler for registrering, videregivelse og sikkerhed.

    Udvalget bemærker i forlængelse heraf, at en opretholdelse af kravet om forskriftsfastsættelse vil indebære, at der fremover vil blive fastsat et ganske betragteligt - og sandsynligvis voksende - antal bekendtgørelser, som for en stor dels vedkommende vil bestå af gentagelser af en eksisterende lovgivnings bestemmelser.

    Hertil kommer, at de primære formål med fastsættelsen af forskrifter (dokumentation af forholdene vedrørende det/den konkrete register/ behandling, den offentlige tilgængelighed af denne beskrivelse samt tilvejebringelse af et fyldestgørende grundlag for tilsynets vurdering af registeret/ behandlingen) vil kunne varetages ligeså fyldestgørende ved indsendelsen af en mere summarisk anmeldelse.

    Udvalget finder det endvidere væsentligt, at borgerne får en reel mulighed for at danne sig et overblik over de behandlinger, som finder sted for de offentlige myndigheder. Dette hensyn varetages efter udvalgets opfattelse langt bedre ved, at myndighederne foretager en summarisk beskrivelse af deres konkrete behandlinger, i stedet for, at borgerne får adgang til adskillige sæt af forskrifter på 10 til 20 sider med en række mere eller mindre enslydende bestemmelser.

    Udvalget finder dog, at der i særlige tilfælde kan være behov for at fastsætte nærmere regler for en behandling, i princippet svarende til de hidtidige registerforskrifter. Fastsættelse af et regelsæt på bekendtgørelsesniveau vil f.eks. kunne vise sig hensigtsmæssigt ved behandlinger, som omfatter meget store mængder af følsomme oplysninger, eller hvis en behandling er forbundet med en høj grad af publikumskontakt. Som konkrete eksempler på behandlinger (registre), hvor et sådant behov kan tænkes at være til stede, peger udvalget på Det Centrale Kriminalregister, Cancerregisteret og Det Psykiatriske Centralregister.

    Udvalget foreslår derfor, at der i den kommende lov om behandling af personoplysninger m.v. indsættes en bestemmelse, hvorefter vedkommende minister i særlige tilfælde kan fastsætte nærmere regler for opbygning og drift af en behandling, som foretages for den offentlige forvaltning.

    I dag er registerforskrifter undtaget fra offentliggørelse i Lovtidende i medfør af Kgl. Anordning nr. 73 af 5. marts 1979. Som en konsekvens af, at bestemmelsen om fastsættelse af registerforskrifter kun bør benyttes, hvor der er et særligt behov herfor, foreslår udvalget, at sådanne regler skal offentliggøres i Lovtidende på normal vis. Dette indebærer, at eventuelle oplysninger om en behandling, som kræver hemmeligholdelse, f.eks. vedrørende sikkerhedsforanstaltninger eller det præcise dataindhold, i stedet må beskrives i interne regler.

Særligt om fælleskommunale registre

    For så vidt angår de fælleskommunale registre foreslår udvalget - i overensstemmelse med det ovenfor anførte - at kravet om politisk godkendelse og fastsættelse af forskrifter udgår.

    Det foreslås endvidere, at det skal være muligt for myndigheder at bemyndige andre myndigheder eller private virksomheder, organisationer m.v. til at foretage anmeldelse på disses vegne. Herved åbnes der mulighed for, at f.eks. Kommunernes Landsforening eller Kommunedata A/S kan foretage anmeldelser på myndighedernes vegne. Se herom nærmere betænkningen, side 334 f.

Anmeldelse af behandlinger

    Med hensyn til udformningen af selve anmeldelsesordningen foreslår udvalget, at der i overensstemmelse med direktivets artikel 18, stk. 1, som udgangspunkt skal ske forudgående anmeldelse af alle behandlinger.

    Kravet om forudgående anmeldelse bør efter udvalgets opfattelse som udgangspunkt ikke kobles sammen med et krav om, at der fra tilsynsmyndighedens side skal afgives en udtalelse eller anden form for tilkendegivelse inden iværksættelsen. Dette udelukker dog ikke, at tilsynsmyndigheden kan afgive en udtalelse og heri f.eks. præcisere reglerne for den pågældende behandling, hvis det findes hensigtsmæssigt.

Undtagelser fra anmeldelsespligten

    Udvalget foreslår på en række punkter, at der gøres undtagelse fra anmeldelseskravet.

    Disse undtagelser er fastsat under hensyntagen til direktivets artikel 18, stk. 2, 1. pind, hvorefter der er mulighed for at indføre en forenklet anmeldelse eller fritagelse, såfremt det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes. I givet fald skal medlemsstaterne for de undtagne behandlinger anføre behandlingernes formål, oplysningstyper, kategorier af registrerede og modtagere, til hvilke oplysningerne kan videregives, samt en slettefrist.

    På baggrund af de hidtidige erfaringer med de registre, der anmeldes i henhold til den gældende lov om offentlige myndigheders registre § 8 a og § 8 b - samt under hensyn til karakteren af disse registre - finder udvalget det forsvarligt generelt at undtage behandlinger af den type af personoplysninger fra anmeldelsespligten. Der foreslås således indsat en bestemmelse om, at behandlinger, som ikke omfatter oplysninger af fortrolig karakter, undtages fra anmeldelsespligten. En sådan behandling bør uden anmeldelse endvidere kunne omfatte identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed.

    Det vil efter udvalgets opfattelse være for omfattende at beskrive formål, modtagere m.v. for alle de typer af behandlinger, som tænkes undtaget, i selve lovteksten. Dette skyldes, at de behandlinger (registre), som i dag blot kan anmeldes, har meget forskellig karakter. Derfor foreslås indsat en bemyndigelsesbestemmelse for justitsministeren til at fastsætte nærmere regler herom.

    Udvalget foreslår endvidere, at behandlinger, hvis eneste formål er at føre et register, som er beregnet til at informere offentligheden, undtages fra anmeldelsespligten. Denne mulighed for undtagelse fremgår direkte af direktivets artikel 18, stk. 3.

    Da det i øvrigt ikke er muligt med sikkerhed at forudsige, om der eventuelt kan være andre typer af behandlinger, hvor det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes, foreslår udvalget, at der indsættes en bemyndigelsesbestemmelse, hvorefter justitsministeren kan undtage sådanne andre behandlinger fra kravet om anmeldelse. Det gælder dog ikke behandlinger, som efter udvalgets opfattelse bør kontrolleres inden iværksættelsen, jf. om disse behandlinger nedenfor. Udvalget peger på, at der f.eks. kunne ske undtagelse for de registre/ behandlinger, som i dag er undtaget fra kravet om fastsættelse af forskrifter, jf. Justitsministeriets bekendtgørelse nr. 872 af 17. december 1991, fastsat i henhold til lovens § 8 e.

    Endelig anfører udvalget, at direktivet i artikel 18, stk. 2, 2. pind, indeholder en mulighed for forenklet anmeldelse eller fritagelse for anmeldelse på betingelse af, at de dataansvarlige i overensstemmelse med den nationale lovgivning, som de er underlagt, udpeger en person med ansvar for beskyttelse af personoplysninger. Vedkommende person skal bl.a. have til opgave i fuld uafhængighed af den dataansvarlige at sikre den interne anvendelse af de nationale bestemmelser, der er truffet i medfør af direktivet, samt at føre et register over de behandlinger, der gennemføres af den dataansvarlige, og som omfatter de i artikel 21, stk. 2, omhandlede oplysninger. Udvalget foreslår, at denne undtagelsesmulighed ikke anvendes. Om baggrunden herfor henvises til betænkningen, side 336 f.

    Af hensyn til opretholdelsen af et så enstrenget system som muligt foreslår udvalget, at muligheden for efter direktivets artikel 18, stk. 5, at undtage eller etablere en forenklet anmeldelsesordning for manuelle registre ikke anvendes. Udvalget finder ikke, at der er grund til at gøre forskel på edb- behandlinger og manuelle registre. Hertil kommer, at et manuelt register i mange tilfælde vil kunne anmeldes sammen med en række edb-behandlinger, fordi disse varetager samme overordnede formål.

    Om de foreslåede undtagelser til anmeldelsesordningen anfører udvalget, at der vil være tale om en betydelig administrativ lettelse i den offentlige forvaltning. Der henvises herved til bilag 18 i bilagssamlingen til betænkningen, hvori der under pkt. 2 og 3 er redegjort nærmere herfor.

Forudgående kontrol

    For visse af de behandlinger, som ikke er omfattet af de foreslåede undtagelser, og som derfor vil skulle anmeldes forudgående til tilsynsmyndigheden, anbefaler udvalget, at der tillige fastsættes et krav om forudgående kontrol fra tilsynsmyndighedens side.

    Herved tages der højde for, at det efter direktivets artikel 20, stk. 1 og 2, påhviler medlemsstaterne at præcisere, hvilke behandlinger der kan indebære særlige risici for registrerede personer, samt i den forbindelse at sikre, at disse behandlinger underkastes en forudgående kontrol.

    Kontrollen vil f.eks. kunne ske i form af en udtalelse efter modtagelsen af en anmeldelse, men der stilles ikke krav herom i direktivet.

    Udvalget finder det naturligt, at der i forbindelse med anmeldelse af behandlinger, som skal kontrolleres forudgående, afgives en udtalelse, således at den dataansvarlige myndighed får en tilkendegivelse fra Datatilsynet om, hvad kontrollen er resulteret i.

    Udvalget er endvidere af den opfattelse, at en behandling, som skal kontrolleres, ikke bør iværksættes, før denne udtalelse er afgivet. På den måde sikres det, at en behandling ikke iværksættes, før kontrollen er tilendebragt.

    Der lægges herved også vægt på, at en sådan ordning er indeholdt i den nuværende lovgivning, hvorefter der gælder et krav om forudgående udtalelse om registre, for hvilke der skal fastsættes forskrifter. Det vil sige en stor del af registrene med fortrolige oplysninger samt alle registre med følsomme oplysninger.

    Udvalget finder dog ikke, at der er behov for, at der foretages en forudgående kontrol af alle disse registre (behandlinger).

    Udvalget er af den opfattelse, at det for behandlinger, som omfatter de særlige kategorier af oplysninger samt oplysninger om strafbare forhold og om væsentlige sociale problemer, bør sikres forudgående, at der etableres den fornødne sikkerhed.

    Endvidere findes der at være et særligt behov for at sikre, at sammenstilling eller samkøring af fortrolige oplysninger i kontroløjemed ikke iværksættes, før det er kontrolleret, om dette er i overensstemmelse med bl.a. god databehandlingsskik.

    Derudover synes det rimeligt at underkaste behandlinger af fortrolige oplysninger, som alene finder sted i videnskabeligt eller statistisk øjemed, en forudgående kontrol. Dette skyldes, at der er fastsat særligt lempelige regler for behandlinger med henblik på forskning og statistik i relation til den registreredes indsigtsret og indsigelsesret, samt at behandlinger i de nævnte øjemed kan resultere i store mængder af data, som opbevares over en meget lang periode.

    Endelig bør behandlinger af fortrolige oplysninger, der udelukkende finder sted med henblik på at føre retsinformationssystemer, være undergivet forudgående kontrol.

    Da det efter udvalgets opfattelse ikke kan udelukkes, at der kan være andre typer af behandlinger, som bør undergives forudgående kontrol på grund af deres art, omfang eller formål, f.eks. fordi de indebærer anvendelsen af ny teknologi, foreslås det, at der indsættes en bemyndigelsesbestemmelse, hvorefter justitsministeren kan fastsætte, at andre behandlinger end de ovenfor nævnte kun kan iværksættes efter forudgående udtalelse fra Datatilsynet.

    Udvalget anbefaler herudover, at de gældende bestemmelser om forelæggelse af udtalelser for henholdsvis vedkommende minister og forskningsministeren, såfremt Datatilsynet ikke kan tiltræde udførelsen af en behandling, som foretages for en underordnet statslig eller kommunal myndighed, videreføres. Dog foreslås det, at indenrigsministeren - i modsætning til den gældende ordning, hvor kompetencen er henlagt til forskningsministeren - tillægges beføjelse til at træffe afgørelse på det kommunale område.

Anmeldelsens genstand og indhold

    I de tilfælde, hvor der efter den foreslåede ordning skal ske anmeldelse til tilsynsmyndigheden, finder udvalget ud fra ressourcemæssige hensyn, at det skal være muligt for en dataansvarlig myndighed at anmelde flere behandlinger samtidig. Udvalget lægger herved også vægt på, at det fremgår af direktivets artikel 18, stk. 1, at genstanden for en anmeldelse er en behandling eller en række sådanne behandlinger, hvis formål er identiske eller indbyrdes relaterede.

    Hertil kommer, at en anmeldelse efter direktivets artikel 19, stk. 1, bl.a. skal indeholde oplysninger om behandlingens formål. Dette må efter udvalgets opfattelse forstås på den måde, at der skal kunne formuleres et samlet, logisk sammenhængende formål med en behandling eller række af behandlinger, som anmeldes på én anmeldelse.

    Det må antages, at hovedreglen i praksis vil være, at der vil ske anmeldelse af en række behandlinger, ikke enkelte behandlinger. Det vil sige, at en anmeldelse ofte vil dække over både indsamling, registrering og anvendelse samt eventuelt videregivelse til opfyldelse af et bestemt formål. Dette svarer i store træk til den nuværende praksis omkring formålsangivelsen i forskrifterne for offentlige myndigheders registre.

    I direktivets artikel 19, stk. 1, er det angivet, hvilke oplysningstyper en anmeldelse mindst skal indeholde. Det bemærkes, at tilsynsmyndigheden altid efter direktivets artikel 28, stk. 3, 1. pind, skal kunne indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver.

    I lyset heraf anbefaler udvalget, at ikke blot de i artikel 19, stk. 1, opregnede oplysningstyper, men også enkelte andre oplysningstyper, skal angives i en anmeldelse. Det foreslås således, at der i en anmeldelse - udover de i den nævnte artikel anførte oplysningstyper - skal gives følgende information til tilsynsmyndigheden:

En betegnelse for behandlingen.

En generel beskrivelse af behandlingen.

Tidspunktet for påbegyndelsen af behandlingen.

Tidspunktet for sletningen af oplysningerne.

Navn og adresse på en eventuel databehandler.

    Om begrundelsen herfor henvises til betænkningen, side 344 f.

    Efter direktivets artikel 19, stk. 2, skal medlemsstaterne præcisere, efter hvilke procedurer ændringer i de oplysninger, som fremgår af anmeldelserne, skal anmeldes til tilsynsmyndigheden.

    Udvalget foreslår på denne baggrund, at der fastsættes bestemmelser om ændringer til anmeldelser, som allerede er blevet indgivet til Datatilsynet. Udvalget finder ikke, at der er behov for at indgive en ny anmeldelse, men alene at der skal gives meddelelse om ændringerne. Se herved nærmere betænkningen, side 345.

Behandlingernes offentlige tilgængelighed

    Efter den gældende ordning er registerforskrifter offentligt tilgængelige.

    Direktivet indeholder i artikel 21, stk. 1, en bestemmelse om, at medlemsstaterne skal træffe foranstaltninger til at sikre, at behandlingerne er offentligt tilgængelige. Endvidere skal der efter stk. 2 fastsættes bestemmelser om, at tilsynsmyndigheden skal føre et register over de behandlinger, der er anmeldt i henhold til artikel 18.

    Udvalget foreslår på denne baggrund, at det skal påhvile tilsynsmyndigheden at føre en fortegnelse, der skal være tilgængelig for offentligheden, over de behandlinger, der er anmeldt.

    Det følger af direktivets artikel 21, stk. 3, 1. afsnit, at for så vidt angår behandlinger, som ikke er omfattet af anmeldelsespligt, skal visse af oplysningerne stilles til rådighed for enhver person, der anmoder herom. Dette skal gøres af de dataansvarlige eller enhver anden myndighed, som medlemsstaterne udpeger hertil.

    Under hensyn hertil foreslår udvalget, at de dataansvarlige selv skal stille visse oplysninger til rådighed for enhver, som anmoder herom, ligesom det foreslås, at de dataansvarlige tillige skal stille oplysninger om anmeldelsespligtige behandlinger til rådighed. For så vidt angår disse behandlinger, har de dataansvarlige allerede udfyldt anmeldelsesblanketter til vedkommende tilsynsmyndighed og må derfor forudsættes at være i besiddelse af en genpart eller kopi, som det ikke vil udgøre en yderligere belastning også at skulle stille til rådighed for offentligheden.

    Udvalget foreslår, at der efter en konkret afvejning - ud fra de samme hensyn som nævnt under punkt 4.2.5.2. vedrørende begrænsninger i oplysningspligten og indsigtsretten - kan gøres undtagelse fra pligten til at gøre behandlinger offentligt tilgængelige.

B. Behandlinger, der udføres for private dataansvarlige

    Direktivets artikel 18, stk. 1, bygger - som nævnt - på det udgangspunkt, at der skal ske anmeldelse af behandlinger, medmindre der gøres undtagelse efter artikel 18, stk. 2-5.

    Hovedreglen efter den gældende lov om private registre er derimod, at der ikke gælder noget krav om anmeldelse til tilsynet.

    Udvalget er af den opfattelse, at den gældende retstilstand så vidt muligt bør opretholdes med henblik på at begrænse de administrative byrder for private virksomheder m.v. Anmeldelse bør derfor kun pålægges, hvor særlige hensyn fører dertil.

    Da direktivet bygger på det udgangspunkt, at der skal ske anmeldelse, har udvalget ikke fundet det forsvarligt at fastsætte et krav om, at der kun skal ske anmeldelse af visse nærmere angivne behandlinger (positivliste), men foreslår i stedet, at der i overensstemmelse med direktivets ordning indsættes et krav om anmeldelse, kombineret med en række undtagelsesbestemmelser (negativliste).

    Udvalget har i de foreslåede undtagelsesbestemmelser søgt at medtage de typiske behandlinger af almindelige oplysninger, som de fleste virksomheder må forventes at udføre, herunder behandlinger, som omfatter oplysninger om ansatte, kunder, leverandører m.v.

    Endvidere foreslås foreningsregistre undtaget i det omfang, der alene behandles oplysninger om foreningens egne medlemmer. Sådanne registre er også i dag undtaget fra anmeldelse, selv om de indeholder følsomme oplysninger, jf. lov om private registre § 3, stk. 4, 2. pkt. Undtagelsen skal endvidere ses i lyset af direktivets artikel 18, stk. 4, jf. artikel 8, stk. 2, litra d.

    Herudover lægges der op til, at behandlinger, som i dag er omfattet af bekendtgørelse nr. 121 af 11. marts 1988 om undtagelse af visse private edb-registre fra anmeldelsespligt, undtages.

    Endelig foreslås behandlinger, som foretages med henblik på udførelsen af markedsundersøgelser, undtaget.

    Da det heller ikke inden for den private sektor er muligt med sikkerhed at forudsige, om der eventuelt kunne være andre typer af behandlinger, hvor det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes, foreslås det, at der indsættes en bemyndigelsesbestemmelse, hvorefter justitsministeren kan undtage sådanne andre behandlinger fra kravet om anmeldelse. Det gælder dog ikke behandlinger, som efter udvalgets opfattelse bør tillades inden iværksættelsen, jf. om disse former for behandlinger nedenfor.

    Det er udvalgets opfattelse, at de foreslåede undtagelser til anmeldelsesordningen vil indebære, at omfanget af anmeldelser i den private sektor i hovedsagen vil være uændret. Der henvises herved til bilag 18 i bilagssamlingen til betænkningen.

    For de behandlinger, som ikke omfattes af de foreslåede undtagelser, og som derfor vil skulle anmeldes, anbefaler udvalget, at der med hensyn til en række behandlinger etableres en tilladelsesordning. Udvalget lægger herved vægt på, at en sådan ordning, kombineret med muligheden for at stille vilkår, vil være egnet til at tilvejebringe et klart og utvetydigt grundlag, på hvilket virksomheden m.v. kan foretage sin behandling.

    Hertil kommer, at Datatilsynet vil have mulighed for at lade en tilladelse bortfalde, hvis en virksomhed m.v. tilsidesætter vilkårene eller går ud over det, som den har oplyst i anmeldelsen.

    Den foreslåede tilladelsesordning, som i det væsentlige svarer til, hvad der følger af lov om private registre, skal ses på denne baggrund. Der henvises til betænkningen, side 341 f.

    Det bemærkes, at udvalget - som følge af de foreslåede regler om overførsel af oplysninger til tredjelande - anbefaler, at der fastsættes et krav om, at overførsel af oplysninger til et tredjeland, der sikrer et tilstrækkeligt beskyttelsesniveau, ikke skal kunne iværksættes, før der er indhentet tilladelse hertil fra tilsynsmyndigheden. Dette bør efter udvalgets opfattelse også gælde, selv om behandlingen af oplysninger i øvrigt ikke er omfattet af kravet om anmeldelse. Der henvises herved til betænkningen, side 290 f.

    I tilknytning til forslaget til tilladelsesordning anbefaler udvalget, at der i lovgivningen indsættes bemyndigelsesbestemmelser, ifølge hvilke justitsministeren kan fastsætte undtagelser fra kravet om tilladelse til behandling af følsomme oplysninger eller kan fastsætte regler om, at andre anmeldelsespligtige behandlinger skal tillades inden iværksættelsen. Udvalget forudsætter i sidstnævnte tilfælde, at der er tale om behandlinger, som indebærer en særlig risiko på grund af deres art, omfang eller formål.

    Vedrørende anmeldelsens genstand og indhold samt med hensyn til behandlingernes offentlige tilgængelighed henvises til det under punkt A anførte.

C. Behandlinger, der udføres for domstolene

    Udvalget har i lyset af direktivets bestemmelser overvejet, hvilken anmeldelsesordning der bør gælde for den behandling af oplysninger, der foretages for domstolene. I den forbindelse er dels spørgsmålet om, i hvilket omfang der skal ske anmeldelse til tilsynsmyndigheden, dels spørgsmålet om, hvilke oplysninger en anmeldelse skal indeholde, gjort til genstand for overvejelse.

    Efter at have overvejet forskellige løsningsmodeller anbefaler udvalget, at den foreslåede anmeldelsesordning for den offentlige forvaltning tilsvarende skal gælde for domstolene. Herved sikres det, at den i lovgivningen indeholdte anmeldelsesordning bliver så enstrenget som mulig. Samtidig indebærer det, at domstolenes behandling af oplysninger i vid udstrækning vil skulle anmeldes til tilsynsmyndigheden, hvilket vil være medvirkende til at realisere de ovenfor beskrevne formål med anmeldelse af behandlinger.

    Med hensyn til det nærmere indhold af anmeldelsesordningen på domstolsområdet henvises til det ovenfor under pkt. A anførte, samt til betænkningen, side 345-347.

D. Særligt om edb-servicebureauer (databehandlere)

    Udvalget foreslår, at edb-servicebureauer, herunder som noget nyt tillige offentlige myndigheder, der fungerer som edb-servicebureauer (databehandlere), skal foretage anmeldelse til Datatilsynet forinden påbegyndelsen af behandlingen. Der henvises herved til betænkningen, side 349.

4.2.7.3. Justitsministeriets forslag

Generelt om udvalgets forslag vedrørende den offentlige forvaltning og den private sektor

    Justitsministeriet kan generelt tilslutte sig udvalgets forslag til en ny anmeldelsesordning for henholdsvis den offentlige forvaltning og den private sektor.

    Justitsministeriet lægger herved vægt på, at forslaget er udtryk for en afbalanceret afvejning af på den ene side hensynet til at sikre fornøden kontrol med behandlingerne og på den anden side hensynet til, at der ikke pålægges de dataansvarlige unødige byrder.

    Justitsministeriet foreslår dog - ud fra retssikkerhedsmæssige hensyn - at vedkommende tilsynsmyndighed ikke kun skal foretage forudgående kontrol med hensyn til behandling af nærmere bestemte oplysninger om enkeltpersoners rent private forhold, herunder bl.a. væsentlige sociale problemer. Tilsynsmyndigheden skal derimod generelt forudgående kontrollere lovligheden af behandling af oplysninger om enkeltpersoners rent private forhold.

    I det følgende behandles nogle særlige spørgsmål i tilknytning til den foreslåede anmeldelsesordning.

Overførsel af oplysninger til tredjelande

    Registertilsynet har peget på, at der for så vidt angår virksomheders m.v. konkrete overførsel af oplysninger til et tredjeland, som ikke sikrer et tilstrækkeligt beskyttelsesniveau, i et vist omfang bør fastsættes et krav om tilladelse, før overførslen iværksættes.

    Et sådant krav om tilladelse bør efter Registertilsynets opfattelse stilles med hensyn til

overførsel, der er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale,

overførsel, der er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand, og

overførsel, der er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

    Justitsministeriet kan - af retssikkerhedsmæssige grunde - tiltræde Registertilsynets forslag.

Domstolene

    Justitsministeriet kan tilslutte sig udvalgets forslag til anmeldelsesordning vedrørende domstolene, hvorefter den anmeldelsesordning, der i øvrigt gælder for offentlige myndigheder (den offentlige forvaltning), også gælder for domstolene.

    Det bemærkes i den forbindelse, at domstolene i forbindelse med høringen over betænkningen ikke har haft indvendinger imod den anmeldelsesmodel, som udvalget har foreslået.

Særligt om anmeldelsesordningen for private sygehuse

    Justitsministeriet finder, at der for at skabe parallelitet mellem anmeldelsespligten for henholdsvis offentlige og private sygehuse bør foretages en mindre ændring i den anmeldelsesordning for den private sektor, som Registerlovsudvalget har foreslået, og som også er lagt til grund i L 44.

    Det foreslås derfor, at der ikke skal gøres undtagelse fra anmeldelsesordningen inden for den private sundhedssektor, hvis der er tale om behandling af personoplysninger, der foretages for et privat sygehus. Der henvises til lovforslagets § 49, stk. 1, nr. 8.

Behandlingernes offentlige tilgængelighed

    Justitsministeriet kan generelt tilslutte sig udvalgets forslag til regulering af spørgsmålet om behandlingernes offentlige tilgængelighed. Dog finder Justitsministeriet, at adgangen til at gøre undtagelse fra pligten til at gøre behandlinger offentlige tilgængelige bør præciseres. Det foreslås således, at offentlighedens adgang til indsigt i tilsynsmyndighedernes fortegnelser over de behandlinger, der er anmeldt, kun skal kunne begrænses, i det omfang det er nødvendigt til forebyggelse, opklaring og forfølgning af lovovertrædelser, eller afgørende hensyn til private interesser gør det påkrævet.

4.2.8. Tilsyn

4.2.8.1. Gældende ret

    I dag varetages tilsynet med lov om offentlige myndigheders registre og lov om private registre af Registertilsynet.

    Også andre offentlige myndigheder påser overholdelsen af lovgivning, som vedrører beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder retten til privatlivets fred, i forbindelse med, at der sker behandling af personoplysninger. Herom henvises nærmere til betænkningen, side 349 f, hvor der er redegjort for Patientklagenævnets og Pressenævnets kompetence på området.

    Reglerne om Registertilsynets organisation fremgår af lov om offentlige myndigheders registre kapitel 7.

    Efter lovens § 22, stk. 1, består Registertilsynet af et råd og et sekretariat.

    Rådet nedsættes af justitsministeren og består af en formand, der skal opfylde betingelserne for at kunne blive udnævnt til dommer, og af 6 andre medlemmer, jf. § 23. Medlemmerne og stedfortræderne for disse udnævnes for 4 år. Med reglen om 4-årig beskikkelse er ikke tilsigtet at udelukke genbeskikkelse.

    Registertilsynets daglige forretninger varetages af sekretariatet, der ledes af en direktør, jf. § 24. Direktøren er ikke medlem af rådet, men deltager i rådets møder uden stemmeret. Sekretariatet forudsættes i bemærkningerne til loven sammensat således, at det besidder såvel juridisk som edb-teknisk sagkundskab. Den løbende inspektionsvirksomhed varetages af sekretariatet.

    Efter § 25 fastsætter justitsministeren rådets forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat. Der er ved Justitsministeriets bekendtgørelse nr. 160 af 20. april 1979 fastsat forretningsorden for registerrådet m.v.

    Det følger af denne forretningsordens § 9, stk. 1, at rådet behandler og træffer afgørelse i sager af principiel karakter, sager af betydelig almindelig interesse eller betydelige følger for en offentlig myndighed eller privat virksomhed m.v., og sager, hvis udfald kan give anledning til tvivl.

    Direktøren træffer afgørelse i andre sager, jf. forretningsordenens § 9, stk. 2.

    Rådets formand forbereder i samarbejde med sekretariatet sagernes forelæggelse for rådet og leder rådets møder, jf. forretningsordenens § 2, stk. 1.

    Herudover indeholder forretningsordenen regler om habilitet, mødeafholdelse, stemmeafgivelse, stedfortrædere og lignende.

    Det fremgår af forarbejderne til lovens § 22, at Registertilsynet ikke er undergivet tjenestebefalinger fra nogen anden administrativ myndighed med hensyn til udøvelsen af sin virksomhed. Den funktionelle uafhængighed i forhold til den øvrige forvaltning er et væsentligt element i sikringen af den enkeltes integritet. Justitsministeriet har i bemærkningerne givet udtryk for, at hensynet til en tilfredsstillende varetagelse af Registertilsynets funktioner kræver, at rådets medlemmer udpeges på en sådan måde, at der herigennem sikres tilsynet den fornødne uafhængighed af de interesser inden for den offentlige og private sektor, som efter forslaget undergives tilsynets kompetence. Samtidig er det imidlertid af afgørende betydning for Registertilsynets autoritet, at der blandt rådets medlemmer findes personer med en betydelig indsigt i den offentlige (statslige såvel som kommunale) forvaltnings og erhvervslivets forhold; dette vil være en forudsætning for, at tilsynet kan foretage en selvstændig vurdering af de synspunkter, der kan anføres for og imod ønsker om oprettelse og brug af bestemte registre. Justitsministeriet var på denne baggrund af den opfattelse, at der ved udpegning af medlemmer af rådet bør tilstræbes uvildighed og sagkundskab fremfor interesserepræsentation.

    Registertilsynet har i dag overordnet set følgende opgaver og funktioner:

Afgivelse af udtalelser efter forelæggelse fra registeransvarlige myndigheder eller virksomheder og lignende vedrørende påtænkte registreringer, videregivelser, sikkerhed m.v.

Afgivelse af høringsudtalelser om påtænkt lovgivning m.v.

Behandling af anmeldelser og ansøgninger om tilladelser.

Behandling af klagesager.

Behandling af egen drift-sager vedrørende overtrædelse af lovgivningen.

Vejledning over for offentlige myndigheder og private.

Udførelse af inspektioner.

Deltagelse i internationalt samarbejde samt afgivelse af udtalelser vedrørende udkast til rekommandationer, konventioner, direktiver m.v.

Udgivelse af en årsberetning.

    Opgaverne, der i nogen grad er forskellige afhængigt af, om der er tale om behandling af oplysninger i den offentlige forvaltning eller i den private sektor, beskrives nærmere i det følgende.

A. Lov om offentlige myndigheders registre

    Det fremgår af lovens § 22, stk. 1, at Registertilsynet fører tilsyn med ethvert register, som omfattes af loven. Tilsynet påser af egen drift eller efter klage fra en registreret, at registeret er oprettet og anvendes i overensstemmelse med lovens bestemmelser og de forskrifter, der er fastsat i medfør af loven, jf. § 22, stk. 2.

    Efter § 26, stk. 1, kan tilsynet afkræve såvel den eller de for registeret ansvarlige myndigheder som den, der fører registeret, enhver oplysning af betydning for tilsynet.

    Registertilsynet træffer som hovedregel ikke afgørelser over for offentlige myndigheder. Der findes dog enkelte undtagelser herfra, idet tilsynet træffer endelige afgørelser i relation til lovens § 13, stk. 1, 2, 4 og 6, § 14 samt efter forskrifter fastsat i henhold til § 13, stk. 2, 3 og 5, jf. § 15 (registerindsigt), § 17, stk. 5 (særlig tilladelse til videregivelse af ikke-følsomme oplysninger), samt § 18 og § 21, stk. 5 (særlig tilladelse til videregivelse fra registre oparbejdet alene i statistisk eller videnskabeligt øjemed). Tilsynets afgørelser kan ikke indbringes for andre forvaltningsmyndigheder, jf. § 15, 2. pkt., 17, stk. 5, 3. pkt., § 18, 3. pkt. og § 21, stk. 5, 2. pkt.

    I alle andre tilfælde afgiver Registertilsynet alene udtalelser. Tilsynet afgiver bl.a. udtalelser om udkast til forskrifter, jf. lovens § 5, stk. 1, § 6, stk. 3, og § 7, stk. 2. Herudover afgives udtalelser i klagesager om registrering, videregivelse, sikkerhed m.v. Endvidere kan tilsynet til enhver tid fremsætte forslag om ændring af gældende forskrifter over for den myndighed, der har fastsat forskrifterne, jf. § 27.

    Det har været kendetegnende, at tilsynets udtalelser er blevet efterlevet af myndighederne, uanset de formelt set ikke har bindende karakter. Der har således kun været et eksempel på, at en myndighed direkte har afvist at følge en udtalelse, som var afgivet af tilsynet. Sagen er omtalt i Registertilsynets årsberetning 1995, side 111 ff.

    Registertilsynets udtalelser kan i almindelighed ikke indbringes for andre forvaltningsmyndigheder. Dog fremgår det af lovens § 5, stk. 2, at hvis tilsynet ikke kan tiltræde et udkast til forskrifter for et register, som skal føres af en underordnet statslig myndighed, skal sagen forelægges for vedkommende minister, som træffer den endelige administrative afgørelse. Bestemmelsen har aldrig været anvendt.

    Tilsvarende fremgår det af § 6, stk. 3, 2. pkt., at kan tilsynet ikke tiltræde et forslag til forskrifter, som forelægges af en kommunal myndighed, skal sagen forelægges finansministeren (nu forskningsministeren), der træffer den endelige administrative afgørelse. Denne bestemmelse har kun været anvendt i et enkelt tilfælde, jf. ovennævnte sag. I alle andre tilfælde har myndighederne efterkommet tilsynets henstillinger, i visse tilfælde dog efter nærmere forhandlinger om indholdet af henstillingerne. Bestemmelserne i § 5, stk. 2, og § 6, stk. 3, 2. pkt., gælder også, hvis tilsynet fremsætter forslag til ændring af gældende forskrifter efter § 27.

    Registertilsynet har ifølge § 26, stk. 3, yderligere den særlige reaktionsmulighed, at tilsynet kan afgive en indberetning til den eller de for registeret ansvarlige myndigheder og vedkommende minister om konstaterede overtrædelser af loven eller fastsatte forskrifter samt i øvrigt om forefundne mangler. Registertilsynet skal i så fald have underretning om, hvad myndigheden foretager i anledning af indberetningen. Tilsynet afgiver kun indberetninger, hvis der er tale om overtrædelser af en vis alvorlighed. I Registertilsynets årsberetninger til Folketinget er omtalt de tilfælde, hvor indberetninger har været nødvendige i det pågældende år.

    I henhold til lovens § 26, stk. 2, har Registertilsynets medlemmer og personale til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra registeret administreres eller kan benyttes, samt til lokaler, hvor registeret eller de tekniske hjælpemidler opbevares eller anvendes. Tilsynet har de seneste år udført ca. 20 inspektioner om året i den offentlige sektor.

    Registertilsynet afgiver en årlig beretning om sin virksomhed til Folketinget, jf. § 28. Beretningen skal efter bestemmelsen offentliggøres, og tilsynet udsender den hvert år til alle offentlige myndigheder og offentlige biblioteker samt visse private virksomheder og pressen.

    Herudover indeholder lovens § 28, stk. 2, en udtrykkelig hjemmel til, at Registertilsynet kan offentliggøre udtalelser, som tilsynet har afgivet i medfør af en række angivne bestemmelser, herunder de udtalelser, tilsynet afgiver om udkast til forskrifter for registre og tilsynets indberetninger af offentlige myndigheder.

    Oplysninger offentliggøres dog ikke i det omfang, hensynet til gennemførelsen af de foreskrevne kontrol- og sikkerhedsforanstaltninger eller afgørende hensyn til andre offentlige interesser gør hemmeligholdelse påkrævet, jf. § 28, stk. 2, 2. pkt., jf. § 8, stk. 2, 2. pkt.

    Registertilsynets afgørelser m.v. kan indbringes for de almindelige domstole, og tilsynet er undergivet sædvanlig kontrol af Folketingets Ombudsmand. Der har aldrig været anlagt sag imod tilsynet ved domstolene i relation til en udtalelse/afgørelse, som tilsynet har afgivet eller truffet efter lov om offentlige myndigheders registre. Dog har en del klagere siden tilsynets oprettelse i 1979 indbragt udtalelser og afgørelser for ombudsmanden.

B. Lov om private registre

    Reglerne om tilsynets kompetence i relation til private virksomheder m.v. fremgår af lov om private registre kapitel 7.

    Det fremgår af § 22, stk. 1, at Registertilsynet fører tilsyn med, at der ikke sker overtrædelse af loven eller bestemmelser, der er fastsat i medfør af loven. Tilsynet påser herunder af egen drift eller efter klage fra en registreret, at registeret er oprettet og anvendes i overensstemmelse med loven og bestemmelser, der er fastsat i medfør af loven.

    Tilsynet kan efter stk. 2 kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser. Denne bestemmelse er benyttet i en række tilfælde, og undertiden er det nødvendigt at indgive politianmeldelse for at få fremskaffet de nødvendige oplysninger.

    Registertilsynet træffer afgørelser efter loven, og disse kan ikke indbringes for anden administrativ myndighed, jf. § 25.

    Derimod kan afgørelserne indbringes for Folketingets Ombudsmand og for de almindelige domstole.

    I nogle situationer træffer tilsynet afgørelser i form af pålæg. Tilsynet kan således meddele pålæg om, at registrering eller videregivelse, der ikke må finde sted efter lov om private registre, skal ophøre, og at eksisterende registre, der føres i strid med loven eller et i henhold hertil meddelt pålæg, skal slettes, jf. § 23, stk. 1.

    Tilsynet kan endvidere pålægge en virksomhed m.v. at foretage sletning eller berigtigelse af en oplysning, som ikke må registreres, eller som tilsynet finder urigtig eller vildledende, jf. § 23, stk. 2. Denne bestemmelse skal ses i sammenhæng med reglerne i §§ 5 og 6. Se ovenfor pkt. 4.2.4.1. (pkt. B).

    Herudover kan tilsynet pålægge en person eller en virksomhed m.v. at slette eller berigtige oplysninger, der er registreret før lovens ikrafttræden, og som ikke må registreres efter loven, eller som tilsynet finder urigtige eller vildledende, jf. § 23, stk. 3.

    Efter § 23, stk. 4, kan tilsynet i særlige tilfælde pålægge en virksomhed m.v. at slette oplysninger, der på grund af alder eller af andre grunde har mistet deres betydning for varetagelsen af registerets opgaver. Bestemmelsen er omtalt ovenfor under pkt. 4.2.4.1. (pkt. B).

    Efter § 23, stk. 5, kan tilsynet forbyde en nærmere angiven fremgangsmåde i forbindelse med indsamling eller videregivelse af oplysninger, såfremt tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko for, at der registreres eller videregives urigtige eller vildledende oplysninger eller oplysninger, som ikke må registreres eller videregives. Bestemmelsen kan bl.a. anvendes over for indsamling og videregivelse af oplysninger.

    Endelig fremgår det af § 23, stk. 6, at tilsynet kan pålægge virksomheden m.v. at foretage nærmere angivne kontrolforanstaltninger til sikring af, at der ikke er eller bliver registreret eller videregivet oplysninger, som ikke må registreres eller videregives, eller som er urigtige eller vildledende, samt foranstaltninger til sikring eller forebyggelse mod, at de registrerede oplysninger misbruges eller kommer til uvedkommendes kendskab. Denne bestemmelse kan bl.a. anvendes i forbindelse med inspektioner til pålæg af mere sikkerhedsmæssig karakter.

    Registertilsynet har ikke en generel adgang til at foretage inspektion af private virksomheder m.v. uden retskendelse. Tilsynet har dog efter § 22, stk. 3, en sådan adgang i forhold til virksomheder, der er anmeldelsespligtige eller omfattes af bestemmelserne i § 3, stk. 6 (advarselsregistre), § 21 (overførsel af oplysninger til udlandet), eller bestemmelser fastsat i medfør af § 3, stk. 8 (pengeinstitutters videregivelse af kreditoplysninger og stillingsbesættende virksomhed). Tilsynets personale og medlemmer har efter bestemmelsen til enhver tid mod behørig legitimation uden retskendelse adgang til lokaler, hvorfra registeret administreres eller kan benyttes, samt til lokaler, hvor registeret eller de tekniske hjælpemidler opbevares eller anvendes.

    Registertilsynet har de seneste år udført ca. 20 inspektioner om året i den private sektor.

    Endelig skal nævnes, at justitsministeren efter § 24 til opfyldelse af internationale aftaler eller i øvrigt til fremme af internationalt samarbejde om kontrol med den art af virksomhed, der omfattes af loven, kan fastsætte regler bl.a. om Registertilsynets forhold til udenlandske tilsynsmyndigheder, om anmeldelsespligt, om sletning af registre og om, at bestemmelsen i § 22, stk. 3, også finder anvendelse på anden virksomhed end nævnt i bestemmelsen. Sådanne regler er ikke blevet fastsat.

    I lovens § 26, stk. 2, er der fastsat regler om betaling af et gebyr på 1.000 kr. for visse anmeldelser og tilladelser. Der henvises nærmere til betænkningen, side 130 f, hvor der er givet en opregning af, i hvilke tilfælde der er betalingspligt.

4.2.8.2. Udvalgets overvejelser

A. Det almindelige tilsyn (Datatilsynet)

    I betænkningen, side 349-374, er beskrevet, hvorledes den almindelige tilsynsmyndighed bør organiseres, samt hvilke opgaver myndigheden bør tillægges.

Tilsynets organisation

    Med hensyn til organiseringen af den almindelige tilsynsmyndighed anfører udvalget indledningsvis, at det fremgår af direktivets artikel 28, stk. 1, 2. afsnit, at den eller de tilsynsmyndigheder, som har til opgave på en medlemsstats område at påse overholdelsen af de bestemmelser, som vedtages til gennemførelse af direktivet, skal udøve de funktioner, der tillægges dem, i fuld uafhængighed.

    Registertilsynet lever efter udvalgets opfattelse op til det nævnte krav om fuld uafhængighed. Det foreslås derfor, at det almindelige tilsyn med overholdelsen af den generelle lovgivning om behandling af personoplysninger fortsat skal henlægges til Registertilsynet, som dog foreslås benævnt »Datatilsynet« i stedet for »Registertilsynet«, idet denne betegnelse bedre vil dække tilsynsmyndighedens aktiviteter.

    Der er ikke i udvalget enighed om, hvorledes Datatilsynet nærmere skal organiseres. Det har således været overvejet, om den gældende ordning vedrørende Registertilsynets organisation fuldt ud bør opretholdes, eller om ordningen bør erstattes af en to- instansordning i form af opretholdelsen af den nuværende myndighed samt et ankenævn. Udvalget har endvidere overvejet, om det nuværende råd (Registerrådet) i så fald skal opretholdes.

    Et flertal (10 medlemmer) finder, at de nuværende regler for tilsynsmyndighedens organisation i det væsentlige bør opretholdes.

    Kernen i den gældende ordning er, at Registertilsynet, bestående af et sekretariat, der varetager tilsynets daglige forretninger, og et råd, der navnlig behandler sager af principiel karakter, er den højeste administrative myndighed på området og udøver sine funktioner i fuld uafhængighed. Registertilsynet har en finanslovmæssig og personalemæssig tilknytning til Justitsministeriet, som er ressortministerium for registerlovgivningen, men tilsynet er under udførelsen af sine funktioner som tilsynsmyndighed ikke undergivet instruktionsbeføjelse af Justitsministeriet.

    Flertallet finder, at den gældende ordning, som blev etableret med ikrafttrædelsen af de to registerlove den 1. januar 1979, har fungeret fuldt tilfredsstillende. Registertilsynets udtalelser og afgørelser er som altovervejende hovedregel blevet respekteret og fulgt af såvel offentlige myndigheder som private virksomheder. Samtidig har det været muligt at holde de økonomiske og personalemæssige ressourcer, som ordningen har krævet, på et rimeligt niveau.

    Flertallet afviser, at der af retssikkerhedsmæssige eller andre grunde skulle være et reelt behov for at indføre en ankenævnsordning, som foreslået af et mindretal af udvalgets medlemmer. Flertallets opfattelse er navnlig baseret på følgende betragtninger:

    Langt den overvejende del af Registertilsynets sagsbehandling, såvel efter den gældende registerlovgivning som efter udvalgets forslag til en fremtidig lov om behandling af personoplysninger, munder ud i ikke-retligt bindende henstillinger, høringssvar, vejledende udtalelser og lignende. Registertilsynets nuværende organisation har vist sig særdeles velegnet til denne form for sagsbehandling. En sådan sagsbehandling er derimod ikke egnet til at blive påklaget til en ankeinstans. Kun i en mindre del af sagerne træffes der bindende afgørelser, f.eks. vedrørende registerindsigt eller i form af påbud eller forbud rettet mod en privat virksomhed. Kun i disse tilfælde vil det være relevant med en ankenævnsordning. I øvrigt skal man være opmærksom på, at nedlæggelse af Registerrådet - som foreslået af mindretallet - vil indebære, at det ikke længere vil være muligt at få Registerrådets vurdering af en sag, hvori sekretariatet har afgivet en uforbindende udtalelse.

    Hertil kommer, at Registertilsynet er undergivet sædvanlig kontrol af Folketingets Ombudsmand, og at tilsynets afgørelser kan efterprøves af domstolene. Domstolsprøvelse finder i praksis sted enten i forbindelse med anerkendelsessøgsmål rettet mod Registertilsynet (er sket 2 gange; Registertilsynet blev frifundet i begge sager), eller i forbindelse med straffesager mod private, hvor Registertilsynet har indgivet politianmeldelse for manglende efterlevelse af et påbud, men hvor tiltalte bestrider lovligheden af tilsynets påbud.

    Etablering af en ankeinstans i forhold til tilsynsmyndigheden - med de deraf følgende muligheder for underkendelse af tilsynets afgørelser - vil endvidere svække tilsynsmyndighedens position. Risikoen for at blive underkendt af ankenævnet vil f.eks. gøre det vanskeligere for tilsynsmyndigheden at rådgive offentlige myndigheder og private virksomheder, der forud for iværksættelse af en behandling af personoplysninger ønsker tilsynets vurdering af lovligheden.

    Hvis det nuværende Registerråd erstattes af en ankeinstans, således som udvalgets mindretal foreslår, vil det også betyde, at tilsynsmyndighedens vejledende udtalelser i form af høringssvar og lignende, som ikke vil kunne indbringes for et ankenævn, ikke længere vil blive tillagt den samme vægt som nu, hvor Registerrådet står bag udtalelserne.

    Hvis man opretholder et Registerråd og samtidig indfører et ankenævn, må det derimod befrygtes, at det ikke vil være muligt at udpege et råd med den nuværende sammensætning og kompetence og med den deraf følgende autoritet, hvis rådets afgørelser skal kunne påklages til og underkendes af en ankeinstans.

    Direktivet understreger, at oprettelsen af uafhængige tilsynsmyndigheder med vidtgående beføjelser har afgørende betydning for beskyttelsen af personoplysninger. Det fremgår direkte af direktivets artikel 28, stk. 1 og 3, at tilsynsmyndigheden skal udøve sine funktioner i fuld uafhængighed, og at afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans. Disse krav lever den nuværende ordning fuldt ud op til.

    Flertallet peger samtidig på, at spørgsmålet om tilsynets organisation bør ses i sammenhæng med, ud fra hvilke overordnede synspunkter tilsynsvirksomheden bør tilrettelægges, udøves og prioriteres. Den ekspertise, sekretariatet og rådet bør være i besiddelse af, bør i øvrigt afspejle disse grundlæggende synspunkter.

    Det er i den forbindelse flertallets opfattelse, at tilsynsmyndigheden i første række bør tage sigte på at kunne udøve sin virksomhed gennem generelle retningslinier og ved en serviceorienteret rådgivning og vejledning frem for en regulering primært koncentreret om afgørelse af enkeltsager i et traditionelt rekurssystem. Tilsynet skal dog naturligvis under alle omstændigheder også behandle de enkeltsager i form af klager og andre konkrete henvendelser, som tilsynet modtager fra enkeltpersoner og virksomheder.

    Også en række forhold af mere praktisk karakter taler efter flertallets opfattelse med betydelig styrke imod en ankenævnsordning:

    Ankenævnet vil i praksis få meget vanskeligt ved at opnå den fornødne faglige indsigt i og overblik over retsområdet og praksis. Dette skyldes dels, at antallet af sager, der vil blive indbragt for nævnet, under alle omstændigheder må forventes at blive forholdsvis beskedent, dels at der kun vil blive tale om bestemte typer af sager. Det skal herved også fremhæves, at lovgivningen om persondatabeskyttelse er et kompliceret retsområde, som er under betydelig påvirkning af den løbende teknologiske udvikling. Dette stiller store krav til tilsynsmyndigheden, og et i forhold til tilsynsmyndigheden uafhængigt ankenævn vil i praksis næppe - eller i hvert fald kun under brug af uforholdsmæssigt store ressourcer - kunne leve op hertil.

    Endelig vil en ankenævnsordning være omkostningskrævende. Her tænkes ikke alene på de - ikke uvæsentlige - udgifter, der vil være direkte forbundet med etablering og drift af ankenævnet, men også på de indirekte omkostninger, som vil være en konsekvens af en klagesagsbehandling. Forholdet er det, at behandlingen af en klage ikke alene vil involvere den klagende part og ankenævnet. Også tilsynsmyndigheden og, afhængigt af sagens karakter, sagens andre parter må således forventes i større eller mindre omfang at skulle tage del i sagens forberedelse og forelæggelse for ankenævnet med deraf følgende ressourceforbrug.

    Et mindretal (5 medlemmer) finder, at de nuværende regler for tilsynsmyndighedens organisation ikke i tilstrækkelig grad frembyder de retssikkerhedsgarantier, som bør gælde for uafhængige forvaltningsmyndigheder.

    Mindretallet bygger dette på følgende betragtninger:

    Efter den nugældende ordning træffer Registerrådet afgørelse i sager af principiel karakter, i sager af betydelig almen interesse samt i sager, hvis udfald kan give anledning til tvivl. Hverken loven eller den for Registerrådet gældende forretningsorden, jf. bekendtgørelse nr. 160 af 20. april 1979, lader rådet fungere som klageinstans for sekretariatets afgørelser. Da adressaten således ingen ret har til at få en afgørelse indbragt for rådet, vil rådet kun kunne fungere som »klageinstans«, såfremt de synspunkter, adressaten måtte fremsætte mod en afgørelse, bringer sekretariatet således i tvivl om dens indhold, at der er grundlag for at inddrage rådet.

    Da Registerrådet funktionelt er uafhængig af ressortministeriet, har adressaten for en afgørelse for Registertilsynet herefter ingen adgang til at udøve administrativ rekurs. Ønsker adressaten at anfægte en sådan afgørelse, er han med andre ord henvist til at gå domstolsvejen, jf. den almindelige regel i grundlovens § 63. Omkostningerne ved en sådan procedure (målt i såvel tid som penge) afholder utvivlsomt mange adressater fra at gå videre med afgørelser, som der kunne være tvivl om. Udover de retssikkerhedsmæssige betænkeligheder herved får denne ordning som bivirkning, at der ikke opbygges nogen praksis med enkeltafgørelser på det registerretlige område.

    En sådan administrativ en-instans-behandling er forholdsvis sjældent forekommende i den offentlige forvaltning. Dette gælder i særlig grad, hvis man sammenligner registerområdet med andre lovgivningsområder, der i høj grad betjener sig af retlige standarder, hvor retsudviklingen må forventes at forme sig efter en dynamisk proces i lyset af den samfundsmæssige udvikling, og hvor der er klart identificerbare interessemodsætninger. Eksempler på en sådan lovgivning findes f.eks. om Patientklagenævnet, Naturklagenævnet, Miljøklagenævnet, Teleklagenævnet, Klagenævnet for udbud og politiklagenævnene.

    Behovet for en ankenævnsordning forstærkes yderligere ved, at den nye lovgivning om behandling af personoplysninger vil tillægge tilsynsorganet væsentligt flere afgørelsesbeføjelser, end den nuværende lov gør.

    Disse medlemmer foreslår derfor, at der indføres en ankenævnsordning, hvorefter afgørelser fra Datatilsynet kan påklages til et uafhængigt ankenævn, der repræsenterer såvel den juridiske sagkundskab som sagkundskab inden for informationsteknologi, offentlig forvaltning og erhvervsforhold. En sådan ankenævnsordning er allerede foreslået af det norske personregisterlovutvalg i betænkningen »et bedre personvern«, NOU 1997:19, s. 116 ff. (de almindelige bemærkninger) og s. 169 f. (med forslaget i lovudkastets § 37).

    Dette mindretal er i øvrigt enig med flertallet i, at den gældende ordning i hovedsagen har fungeret tilfredsstillende, men mener i modsætning til flertallet ikke, at denne antagelse i sig selv godtgøres ved, at Registertilsynets udtalelser og afgørelser som hovedregel er blevet respekteret. Ligeledes deler mindretallet ikke flertallets opfattelse af, at man gennem en ankenævnsordning vil svække tilsynsmyndighedens position, idet den retskildeskabelse, der vil finde sted gennem ankenævnets praksis, tværtimod vil kunne give tilsynets udtalelser en endnu højere autoritet.

    Hvis en ankenævnsordning indføres, vil det efter mindretallets opfattelse ikke længere være påkrævet at opretholde et registerråd, og dette foreslås derfor nedlagt, således at Datatilsynets ledelse samles hos direktøren.

    Et andet mindretal (3 medlemmer) finder ikke grundlag for at tage stilling til spørgsmålet om, hvorledes tilsynet bør organiseres.

Tilsynets opgaver, beføjelser og pligter

Indledende bemærkninger

    Hvad angår Datatilsynets opgaver er der i udvalget enighed om, at rådet - i det omfang den nuværende tilsynsordning opretholdes, jf. ovenfor - bør være kompetent til at fastsætte sin egen forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat. Efter lov om offentlige myndigheders registre § 25 er det - som tidligere anført - justitsministeren, som har denne kompetence.

    Herudover foreslår udvalget, at den nuværende adgang til at indbringe en sag for en minister, såfremt der ikke kan opnås enighed mellem den dataansvarlige myndighed og Registertilsynet i forbindelse med oprettelsen af et register eller eventuelt senere, opretholdes. Samtidig peges der på, at proceduren fremover også bør kunne anvendes i en hvilken som helst situation, hvor der er uenighed om udførelsen af en behandling, uanset om behandlingen skal forelægges Datatilsynet eller ej. Er der tale om uenighed vedrørende behandlinger, som foretages for kommunale myndigheder, bør indbringelse - som nævnt ovenfor under pkt. 4.2.7.2. - fremover skulle ske for indenrigsministeren i stedet for forskningsministeren.

    Endelig peges der fra udvalgets side på, at Datatilsynets afgørelser - ligesom Registertilsynets afgørelser i dag - til enhver tid vil kunne indbringes for domstolene, jf. grundlovens § 63, hvorefter domstolene er berettigede til at påkende ethvert spørgsmål om øvrighedsmyndighedens grænser. Herudover vil tilsynets virksomhed være undergivet Folketingets Ombudsmands kompetence.

    Hvad særligt angår bestemmelsen i direktivets artikel 28, stk. 3, 3. pind, hvorefter tilsynsmyndigheden skal kunne indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af direktivet, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser, bemærker udvalget, at Registertilsynet i dag medvirker til at indbringe overtrædelser af registerlovgivningen for domstolene ved at indgive politianmeldelse mod den, der efter Registertilsynets opfattelse har overtrådt lovgivningen. Udvalget finder ikke, at den nuværende ordning kan antages at være i strid med direktivet, da resultatet under alle omstændigheder er, at tilsynsmyndigheden foranlediger, at bestemte forhold bliver indbragt for domstolene. Udvalget foreslår på denne baggrund ikke, at der indsættes særlige bestemmelser herom.

    For så vidt angår Datatilsynets opgaver, anfører udvalget, at direktivets bestemmelser om tilsynsmyndighed hverken foreskriver eller udelukker, at der i den nationale lovgivning fastsættes forskellige regler vedrørende tilsynets opgaver i forhold til henholdsvis den offentlige forvaltning og den private sektor. Tilsynet må blot antages at skulle udstyres med de beføjelser, som i fornøden grad sætter tilsynet i stand til at påse overholdelsen af de bestemmelser, som vedtages til gennemførelse af direktivet. Dog skal tilsynet mindst kunne iværksætte undersøgelser, gribe effektivt ind samt indbringe overtrædelser for de nationale retsinstanser.

    Udvalgets forslag til den nærmere udmøntning af disse opgaver i forhold til offentlige og private dataansvarlige er beskrevet i betænkningen, side 357- 374.

Fælles bestemmelser for den offentlige forvaltning og private

    Der foreslås indsat en række bestemmelser i den kommende lovgivning, som skal gælde i relation til såvel den offentlige forvaltning som den private sektor.

    Det foreslås, at Datatilsynet skal føre tilsyn med enhver behandling, der omfattes af loven, bortset fra behandlinger, der foretages for domstolene. Endvidere skal Datatilsynet af egen drift eller efter klage fra en registreret person påse, at behandlingen finder sted i overensstemmelse med loven eller regler udstedt i medfør af loven. Dette svarer til, hvad der følger af bestemmelserne i lov om private registre § 22, stk. 1, og lov om offentlige myndigheders registre § 22, stk. 2. Dog er genstanden for tilsynet efter disse love ikke behandlinger, men oprettelse og førelse af registre.

    Endvidere foreslås det, at Datatilsynet skal kunne kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens regulering. Dette svarer til den gældende regel i lov om private registre § 22, stk. 2, samt delvis til, hvad der følger af lov om offentlige myndigheders registre § 26, stk. 1.

    Herudover foreslås det, at der i lovgivningen indsættes en bestemmelse, hvorefter Datatilsynet efter omstændighederne skal kunne tilbagekalde begunstigende afgørelser om overførsel af oplysninger til tredjelande for at kunne efterleve en afgørelse fra Europa-Kommissionen. Om baggrunden for bestemmelsen henvises nærmere til betænkningen, side 360 f.

    Afgørelser truffet af Datatilsynet bør efter udvalgets opfattelse ikke kunne indbringes for anden administrativ myndighed. Dette forslag svarer til lov om private registre § 25 samt diverse særbestemmelser i lov om offentlige myndigheders registre.

    Desuden foreslås det, at Datatilsynet skal kunne bestemme, at anmeldelser, ansøgninger om tilladelse efter loven samt ændringer heri kan eller skal ske på nærmere angiven måde. Registertilsynet har en tilsvarende kompetence i henhold til lov om private registre § 26, stk. 2 (alle anmeldelser og ansøgninger), samt i begrænset omfang i henhold til lov om offentlige myndigheders registre § 8 c (anmeldelse af registre, som er fritaget fra kravet om forskriftsfastsættelse).

    Udvalget foreslår endelig, at Datatilsynet - ligesom efter lov om offentlige myndigheders registre § 28, stk. 1 - skal afgive en årlig beretning om sin virksomhed til Folketinget. Beretningen skal offentliggøres. Endvidere foreslås det, at Datatilsynet skal kunne offentliggøre sine udtalelser. En sådan adgang til offentliggørelse af udtalelser følger også i et vist omfang af den nugældende lov om offentlige myndigheders registre § 28, stk. 2.

Særlige regler for den offentlige forvaltning

    Specielt for så vidt angår tilsynet med forvaltningsmyndigheder foreslår udvalget, at ordningen med (uforbindende) udtalelser fortsætter. Udvalget lægger herved vægt på, at der siden lovens ikrafttræden kun har foreligget ét tilfælde, hvor en myndighed helt har afvist at følge tilsynets udtalelse. Den gældende ordning må derfor siges at have fungeret tilfredsstillende. Det er udvalgets opfattelse, at det har været muligt for Registertilsynet at gribe effektivt ind over for offentlige myndigheder ved at afgive udtalelser og påtale overtrædelser af loven i relation til de materielle registrerings- og videregivelsesbetingelser samt sikkerhedsforanstaltninger.

    På denne baggrund synes det hverken nødvendigt eller ønskeligt, at tilsynsmyndigheden fremover generelt skal kunne træffe egentlige afgørelser i forhold til andre myndigheder.

    I nogle tilfælde kan der imidlertid være gode grunde til at tillægge Datatilsynet en egentlig afgørelseskompetence.

    Som nævnt ovenfor har Registertilsynet i dag afgørelseskompetence i forhold til sager om registerindsigt, hvilket er et eksempel - det eneste, som findes i den nuværende lov om offentlige myndigheders registre - på en udtrykkelig ret for en registreret.

    Udvalget foreslår, at denne ordning fastholdes. Herudover bør Datatilsynet i forhold til forvaltningsmyndigheder træffe (bindende) afgørelse i sager, som vedrører undtagelse fra behandlingsforbudet med hensyn til særlige kategorier af personoplysninger, sager om automatisk registrering af udgående telefonopkald, sager om overførsel af oplysninger til tredjelande, sager om rækkevidden af den registreredes rettigheder, samt sager om tilbagekaldelse af tilladelse til overførsel af oplysninger til tredjelande.

    I alle andre tilfælde bør tilsynet efter udvalgets opfattelse alene afgive (uforbindende) udtalelser.

    Med hensyn til spørgsmålet om inspektionskompetence foreslås der videreført en bestemmelse om, at tilsynets medlemmer og personale til enhver tid har adgang til visse lokaler mod behørig legitimation uden retskendelse, jf. herved lov om offentlige myndigheders registre § 26, stk. 2.

    I den nugældende lov om offentlige myndigheders registre § 26, stk. 3, er der en særlig adgang for Registertilsynet til at afgive indberetning til den eller de for et register ansvarlige myndigheder og vedkommende minister om konstaterede overtrædelser af loven eller de fastsatte forskrifter samt i øvrigt om forefundne mangler. Tilsynet skal have underretning om, hvad myndigheden foretager i anledning af indberetningen.

    Udvalget finder - som nævnt ovenfor under pkt. 4.2.7.2. - at der ikke længere er et behov for en særlig politisk kontrol med oprettelse eller iværksættelse af registre/behandlinger. På samme måde finder udvalget, at der ikke er et behov for en speciel politisk kontrol med overholdelsen af loven i forbindelse med udførelsen af behandlinger. Hertil kommer, at der i dag kun indgives indberetninger, såfremt der er tale om overtrædelser af en vis alvor, og det må under alle omstændigheder forventes, at en kritik af sådanne overtrædelser tilsendes en person på et højere, muligvis det højeste, niveau inden for myndigheden. En væsentlig funktion af indberetningerne ligger i, at kritikken udtrykkes over for et niveau i myndigheden, som har fornøden kompetence og ansvar til at træffe passende foranstaltninger til at imødegå muligheden for fremtidige overtrædelser. Denne funktion vil således blive varetaget uanset opretholdelsen af en regel om indberetning.

    På denne baggrund foreslås der ikke bestemmelser om indberetning til dataansvarlige myndigheder (kommunalbestyrelser, amtsråd og direktører m.v. for statslige styrelser) og vedkommende minister.

Særlige regler for private dataansvarlige

    Hvad særligt angår tilsynet med de private dataansvarlige foreslår udvalget, at den nuværende retstilstand opretholdes med de modifikationer, der følger af, at lovens genstand ikke vil være registrering og videregivelse, men behandling af oplysninger.

    Herudover finder udvalget, at der bør åbnes mulighed for, at Datatilsynet i stedet for at påbyde sletning af oplysninger, som efter loven ikke må behandles, kan påbyde blokering. Direktivets artikel 28, stk. 3, 2. pind, omtaler muligheden for at gribe effektivt ind ved at beordre oplysninger blokeret.

    Datatilsynet vil, ligesom det hidtil har været tilfældet for Registertilsynet, have behov for at kunne indhente de relevante oplysninger i forbindelse med udøvelsen af sin tilsynsvirksomhed. Disse oplysninger vil i langt de fleste tilfælde kunne indhentes skriftligt eller eventuelt telefonisk eller lignende.

    Som nævnt er der imidlertid i den nugældende lov om private registre § 22, stk. 3, hjemmel til, at Registertilsynet - ud over at kunne kræve enhver oplysning, som er af betydning for dets virksomhed, jf. § 22, stk. 2 - kan foretage inspektioner med hensyn til nærmere bestemt virksomhed, hvorved tilsynet uden retskendelse ved en eller flere ansatte møder op på det sted, hvor registreringen fysisk sker, eller hvorfra den faktisk administreres.

    Udvalget finder, at der fortsat er behov for i et vist omfang at kunne inspicere hos private. Se om baggrunden herfor betænkningen, side 366 f.

    Udvalget har i den forbindelse overvejet konsekvenserne af, at det nugældende forbud mod fysiske personers registrering af oplysninger, som er omfattet af lov om private registre § 1, stk. 1, foreslås ophævet. Oplysninger, som behandles af fysiske personer med henblik på udøvelse af aktiviteter af rent privat karakter, vil ikke være omfattet af loven, jf. § 2, stk. 1, i udvalgets forslag til en ny lovgivning om behandling af personoplysninger. Dette betyder imidlertid ikke, at der ikke må antages at være en række behandlinger, som foretages af privatpersoner i deres eget hjem, der fremover vil være omfattet af lovgivningen.

    Udvalget finder det ikke rimeligt, at en dataansvarlig kan undgå inspektioner ved at forelægge den fysiske behandling af oplysninger til privat bolig, hvorfor inspektionsbeføjelsen ikke foreslås indskrænket til kun at gælde forretningslokaler m.v.

    Dog finder udvalget, at inspektionsbeføjelserne bør indskrænkes til at gælde i relation til behandlinger, som på grund af deres omfang eller formål kan indebære en særlig risiko for at krænke de registreredes rettigheder og frihedsrettigheder, f.eks. behandlinger, der har til formål at udelukke den registrerede fra at udøve en ret, modtage en ydelse eller opnå en kontrakt, eller som indebærer anvendelse af ny teknologi. Inspektionsbeføjelsen bør med andre ord gælde for behandlinger, som ud fra de samme betragtninger er undergivet et krav om forudgående tilladelse, jf. ovenfor under pkt. 4.2.7.2. (pkt. B).

    Efter den gældende registerlovgivning er bl.a. edb- servicebureauer undergivet Registertilsynets inspektionsbeføjelse, jf. lov om private registre § 20, jf. § 22, stk. 3. Udvalget finder, at disse bureauer fortsat bør være undergivet tilsynsmyndighedens inspektionsbeføjelse, således at det sikres, at Datatilsynet kan inspicere bureauernes virksomhed - og navnlig de etablerede sikkerhedsforanstaltninger - som en helhed og ikke blot de konkrete behandlinger.

Datatilsynets øvrige opgaver

    Af øvrige generelle opgaver, der - som noget nyt - vil skulle henlægges til Datatilsynet, peger udvalget for det første på, at Datatilsynet vil skulle høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifter om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Udvalget henviser herved til, at dette følger af direktivets artikel 28, stk. 2.

    Selv om det ikke kan antages at følge som en forpligtelse af den nævnte bestemmelse i direktivet, forudsætter udvalget endvidere, at Datatilsynet høres i forbindelse med, at regeringen udarbejder sådanne lovforslag, ligesom vedkommende ressortministerium også forudsættes at inddrage Datatilsynet i forbindelse med sin stillingtagen til et privat lovforslag.

    Hvad særligt angår behandling af oplysninger, som foretages for domstolene, og som et flertal foreslår, at der etableres en særlig tilsynsordning for, jf. nedenfor, finder udvalget, at der bør skabes fornødent lovgrundlag for, at Datatilsynet og disse tilsynsmyndigheder kan samarbejde i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger. Udvalget peger i den forbindelse på, at Datatilsynet (i dag Registertilsynet) er i besiddelse af en betydelig sagkundskab vedrørende databeskyttelsesretlige spørgsmål, som det bør være muligt for de øvrige tilsynsmyndigheder at trække på. Der henvises nærmere til betænkningen, side 370.

    Endelig foreslår udvalget - i lyset af direktivets artikel 28, stk. 6, - at Datatilsynet også skal samarbejde med tilsynsmyndighederne i andre medlemsstater. Indholdet af Datatilsynets opgaver på dette område er beskrevet i betænkningen, side 371- 373.

B. Tilsynet med domstolene

    For så vidt angår tilsynet med domstolenes behandling af oplysninger, har udvalget overvejet to spørgsmål. Det gælder for det første spørgsmålet om, hvem der skal føre tilsyn med domstolenes behandling af personoplysninger, og for det andet spørgsmålet om, hvilke opgaver der bør henlægges til vedkommende tilsynsmyndighed.

    Som anført ovenfor følger det af direktivets artikel 28, stk. 1, at medlemsstaterne skal udpege én eller flere tilsynsmyndigheder (offentlige myndigheder), der har til opgave på deres område at påse overholdelsen af de bestemmelser, medlemsstaterne vedtager til gennemførelse af direktivet. Dette skal bl.a. ske på baggrund af de anmeldelser, som vedkommende tilsynsmyndighed modtager fra de dataansvarlige, jf. nærmere ovenfor pkt. 4.2.7.2., hvor udvalgets overvejelser vedrørende anmeldelse af behandlinger, der foretages for domstolene, er beskrevet.

    Udvalget peger på to mulige tilsynsordninger, nemlig enten at henlægge tilsynet med domstolene til Datatilsynet eller at gennemføre en ordning, som i det væsentlige svarer til den, der er indeholdt i tinglysningslovens § 50 og §§ 50 a-g (edb- tinglysningsregistre).

    Et flertal (17 medlemmer) anbefaler den sidstnævnte tilsynsmodel, idet flertallet af principielle grunde ikke kan anbefale, at det overlades til Datatilsynet at føre tilsyn med domstolenes judicielle funktioner. Flertallet anfører i tilknytning hertil, at hensynet til at gennemføre en så enstrenget tilsynsordning som muligt taler for at etablere en ordning, hvorefter tilsynet med domstolene i det hele placeres i domstolsregi. I givet fald undgås det, at dele af tilsynet føres i domstolsregi, mens andre dele af tilsynet føres af en administrativ myndighed (Datatilsynet).

    Flertallet foreslår, at der med hensyn til domstolenes judicielle funktioner gennemføres en ordning, hvorefter lovligheden af behandling af oplysninger, der sker i tilknytning til denne virksomhed, gøres til judicielle afgørelser, der træffes af vedkommende dataansvarlige domstol.

    Afgørelserne bør kunne efterprøves ved kære til en højere ret, idet der efter direktivets artikel 28, stk. 1, skal være mulighed for, at den registrerede kan få kontrolleret den dataansvarliges behandling af oplysninger om vedkommende hos en funktionelt uafhængig offentlig myndighed. Dette gælder, for så vidt angår civile retssager, hvis der er tale om en sag, der falder inden for fællesskabsrettens område. Også med hensyn til andre retssager, herunder sager inden for strafferetsplejen, bør tilsvarende gælde, selv om direktivet ikke stiller krav herom, jf. artikel 3, stk. 2, 1. pind. Efter flertallets opfattelse bør der således altid kunne ske en efterfølgende kontrol af behandlingens lovlighed. Se nærmere herom i betænkningen, side 376 f.

    Med hensyn til domstolenes administrative funktioner, det vil sige den teknisk-administrative behandling af oplysninger, herunder spørgsmålet om behandlingssikkerhed, anbefales det ud fra de samme overvejelser som dem, der ligger bag ordningen i tinglysningslovens § 50 og §§ 50 a-g, at kontrollen med den egentlige byret, herunder boligretten, husdyrvoldgiftsretten m.v. og landsretterne, henlægges til landsretspræsidenterne. Herudover bør landsretspræsidenternes tilsyn omfatte andre retter, der er beliggende i vedkommende landsretskreds. Dog bør tilsynet med Højesteret og Den Særlige Klageret udføres af præsidenten for Højesteret.

    Det tilsyn, som retspræsidenterne skal udføre, bør efter flertallets opfattelse i det væsentlige svare til, hvad der foreslås i relation til Datatilsynet, jf. ovenfor.

    Dog finder udvalget, at der på enkelte punkter bør fastsættes særlige regler for tilsynet på domstolsområdet.

    Det tilsyn, som skal udføres af retspræsidenterne, bør efter udvalgets opfattelse tilrettelægges således, at der træffes (bindende) afgørelse i forhold til den pågældende dataansvarlige domstol vedrørende dennes behandling af oplysninger. Tilsynsmyndigheden bør herunder kunne træffe afgørelse om, at oplysninger skal blokeres, slettes eller tilintetgøres, samt om, at det midlertidigt eller definitivt er forbudt at behandle nærmere angivne oplysninger.

    I overensstemmelse hermed foreslås det, at vedkommende tilsynsmyndighed i forbindelse med udførelsen af tilsynet skal kunne træffe afgørelse vedrørende lovligheden m.v. af den behandling af oplysninger, som finder sted. Afgørelserne bør være endelige i den forstand, at der ikke kan påklages til en højere administrativ myndighed. Afgørelserne vil heller ikke være omfattet af Folketingets Ombudsmands kompetence, jf. lov om Folketingets Ombudsmand § 7, stk. 2. Derimod vil afgørelserne være undergivet domstolskontrol, jf. herved grundlovens § 63.

    Endvidere foreslås det, at der skal indhentes en udtalelse fra vedkommende retspræsident ved udarbejdelsen af bekendtgørelser eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, der foretages for domstolene. Det forudsættes endvidere, at tilsynsmyndighederne høres i forbindelse med regeringens behandling (udarbejdelse) af lovforslag, der vedrører behandling af oplysninger, der foretages for domstolene. Pligten til at høre retspræsidenterne bør - i modsætning til den høringspligt som foreslås i relation til Datatilsynet - alene tage sigte på retsforskrifter, som vedrører den behandling af oplysninger, der foretages for domstolene.

    Om flertallets overvejelser og forslag til en særlig tilsynsordning på domstolsområdet henvises nærmere til betænkningen, side 375-379.

    Et mindretal (1 medlem) kan ikke tilslutte sig flertallets opfattelse og anbefaler i stedet, at Datatilsynet tillægges kompetence med hensyn til såvel de administrative som de judicielle funktioner. Om baggrunden herfor henvises til betænkningen, side 379-381.

4.2.8.3. Justitsministeriets forslag

    Efter Justitsministeriets opfattelse bør tilsynsmyndigheden i første række tage sigte på at kunne udøve sin virksomhed gennem generelle retningslinier og ved en serviceorienteret rådgivning og vejledning frem for en regulering primært koncentreret om afgørelse af enkeltsager i et traditionelt rekurssystem. I praksis må det således forventes, at kun en mindre del af tilsynsmyndighedens aktiviteter vil bestå i at træffe afgørelse i konkrete klagesager o.lign.

    Navnlig dette forhold taler efter Justitsministeriets opfattelse for flertallets tilsynsmodel. Det fremtidige almindelige tilsyn med behandling af personoplysninger bør derfor - i lighed med den nuværende ordning - organiseres som én myndighed, der består af henholdsvis et sekretariat og et råd (Datatilsynet).

    Justitsministeriet kan tilslutte sig udvalgets forslag om, hvilke opgaver der bør henlægges til Datatilsynet. Herved sikres, at Datatilsynet - ligesom i dag - vil kunne føre et effektivt tilsyn med overholdelsen af lovgivningen. Hvad særligt angår spørgsmålet om betaling for anmeldelse m.v. inden for den private sektor, finder Justitsministeriet dog, at det bør fastsættes, at betalingsforpligtelsen efter lovforslagets § 63, stk. 2, indtræder ved indgivelsen af anmeldelse eller ansøgning om tilladelse, og at anmeldelse ikke anses for indgivet, før betaling er sket, ligesom Datatilsynet kan bestemme, at tilladelse ikke meddeles, før betaling har fundet sted. Justitsministeriet finder endvidere, at der i lovforslagets § 63 bør indsættes en ny bestemmelse, hvorefter der ligesom efter den gældende private registerlov ikke skal betales gebyr for anmeldelse til/indhentning af tilladelse hos Datatilsynet til behandlinger, der udelukkende finder sted i videnskabeligt eller statistisk øjemed.

    Justitsministeriet finder, at Domstolsstyrelsen bør føre tilsyn med domstolenes behandling af personoplysninger vedrørende administrative forhold. Domstolene har givet tilslutning hertil.

4.2.9. Retsmidler, erstatning og sanktioner

4.2.9.1. Gældende ret

    I den nuværende registerlovgivning er ikke fastsat særlige regler om indbringelse af sager for domstolene. Der er heller ikke indeholdt særlige regler om registeransvarliges erstatningsansvar over for den registrerede.

    Derimod er der i lovgivningen fastsat regler om strafansvar. Reglerne er forskellige for henholdsvis den offentlige forvaltning og den private sektor.

A. Lov om offentlige myndigheders registre

    I lov om offentlige myndigheder registre kapitel 8 er der fastsat bestemmelser om straf.

    Det fremgår af § 29, stk. 1, at medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der overtræder en række nærmere angivne bestemmelser, der alle vedrører videregivelse af oplysninger. Det drejer sig bl.a. om tilsidesættelse af vilkår i samtykke til videregivelse af oplysninger til private, og om overtrædelse af de særlige regler om videregivelse af oplysninger til brug i statistisk eller forskningsmæssigt øjemed.

    Endvidere fremgår det af bestemmelsens stk. 2, at der i registerforskrifter kan fastsættes straf af bøde for overtrædelse af bestemmelser i forskrifterne.

    Endelig fremgår det af stk. 3, at hvis overtrædelsen er begået af et aktieselskab, andelsselskab eller lignende, kan bødeansvar pålægges selskabet som sådant.

    En udførlig opregning af de strafbelagte bestemmelser i loven er indeholdt i betænkningen, side 88 f.

B. Lov om private registre

    I lov om private registre er der i § 27 fastsat bestemmelser om straf. Det fremgår af stk. 1, at medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der

overtræder nærmere angivne bestemmelser om bl.a. registrering, videregivelse, samkøring, sletning, registerindsigt samt en række specialregler om henholdsvis kreditoplysningsbureauer, adresserings- og kuverteringsbureauer og edb-servicebureauer,

undlader at efterkomme Registertilsynets afgørelse om sletning eller berigtigelse, herunder sletning og berigtigelse af oplysninger registreret af et kreditoplysningsbureau, eller undlader at efterkomme Registertilsynets afgørelse om registerindsigt,

undlader at opfylde Registertilsynets krav om meddelelse af oplysninger, der er af betydning for tilsynets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser,

tilsidesætter vilkår for registrering af personfølsomme oplysninger til videnskabelige eller statistiske formål eller tilsidesætter en betingelse eller et vilkår for en tilladelse i henhold til loven eller i henhold til forskrifter udstedt i medfør af loven, eller

undlader at efterkomme forbud eller påbud, der er meddelt i henhold til loven eller i henhold til forskrifter udstedt i medfør af loven.

    Endvidere fremgår det af stk. 2, at der i forskrifter, der udstedes i medfør af loven, kan fastsættes straf af enten bøde eller hæfte for overtrædelse af bestemmelser i forskrifterne.

    Er en overtrædelse begået af et aktieselskab, andelsselskab eller lignende, kan bødeansvar pålægges selskabet som sådant, jf. stk. 3.

    Endelig fremgår det af § 28, at den, der driver eller er beskæftiget med virksomhed som nævnt i § 3, stk. 6 (advarselsregistre), § 8 (kreditoplysningsbureauer) og § 20 (edb-servicebureauer), ved dom for strafbart forhold kan frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for misbrug.

    En udførlig opregning af de strafbelagte bestemmelser i loven er indeholdt i betænkningen, side 131 f.

4.2.9.2. Udvalgets overvejelser

    I direktivets kapitel 3, artikel 22-24, er fastsat bestemmelser om retsmidler, ansvar og sanktioner.

    Udvalget har overvejet, om - og i givet fald i hvilken udstrækning - disse bestemmelser nødvendiggør ændringer i den gældende registerlovgivning.

Retsmidler

    Efter direktivets artikel 22 og 28, stk. 3, skal der hjemles henholdsvis registrerede personer og dataansvarlige adgang til domstolsprøvelse.

    Efter udvalgets opfattelse er denne adgang allerede sikret i dansk ret. Udvalget lægger herved navnlig vægt på, at det følger af grundlovens § 63, stk. 1, at domstolene er berettiget til at påkende ethvert spørgsmål om øvrighedsmyndighedens grænser, og at der således vil være mulighed for domstolsprøvelse af sager afgjort af tilsynsmyndighederne på baggrund af f.eks. en klage fra en registreret person. I givet fald vil den registrerede eller den dataansvarlige, som tilsynsmyndighedens afgørelse m.v. måtte gå imod, kunne indbringe afgørelsen m.v. for domstolene. Der henvises herved til betænkningen, side 387.

    På den anførte baggrund finder udvalget ikke, at der er behov for at indsætte en udtrykkelig bestemmelse i lovgivningen om, at en registreret person kan indbringe spørgsmål om krænkelser af den pågældendes rettigheder i henhold til lovgivningen om behandling af personoplysninger for domstolene. Der findes heller ikke at være behov for en bestemmelse om, at dataansvarlige kan indbringe tilsynsmyndighedens afgørelser m.v. for domstolene.

Erstatningsansvar

    Som nævnt ovenfor under pkt. 4.9.2.1. er spørgsmålet om dataansvarliges erstatningspligt over for registrerede personer ikke reguleret i den gældende registerlovgivning. Spørgsmålet skal derfor i dag afgøres efter dansk rets almindelige erstatningsregel (culpa-reglen).

    Direktivets artikel 23 må imidlertid efter udvalgets opfattelse antages at skulle forstås således, at det påhviler medlemsstaterne at fastsætte et præsumptionsansvar (culpa med omvendt bevisbyrde) for den dataansvarliges uretmæssige behandling af oplysninger om registrerede personer.

    For at sikre en korrekt implementering af artikel 23 foreslås det derfor, at der i den kommende lov om behandling af personoplysninger - i modsætning til i dag - indsættes en regel om, at den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i loven, medmindre den dataansvarlige godtgør, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

    Herudover nødvendiggør direktivets artikel 23 efter udvalgets opfattelse ikke, at der i lovgivningen fastsættes særlige regler vedrørende dataansvarliges erstatningsansvar over for registrerede personer. Det anbefales derfor, at de almindelige betingelser i dansk ret for at pålægge erstatningsansvar i øvrigt skal finde anvendelse ved bedømmelsen af, om den dataansvarlige er erstatningsansvarlig over for den registrerede.

    Udvalget anbefaler således, at der - bortset fra spørgsmålet om ansvarsgrundlaget - ikke foretages ændringer i den gældende retstilstand.

Strafansvar m.v.

    Med hensyn til spørgsmålet om fastsættelse af strafbestemmelser anbefaler udvalget, at der - ligesom i dag - fastsættes separate strafbestemmelser for henholdsvis personer, der foretager behandling af oplysninger for offentlige myndigheder, og for personer beskæftiget i den private sektor.

    Endvidere bør der - som noget nyt - fastsættes bestemmelser om strafansvar for overtrædelse af de regler i den kommende lovgivning, som vedrører Datatilsynets beføjelser i relation til behandlinger, der er undergivet en anden medlemsstats lovgivning.

    Udvalget bemærker, at der naturligvis - i lighed med den gældende registerlovgivning - bør være mulighed for at pålægge juridiske personer strafansvar.

    Herved vil lovgivningen efter udvalgets opfattelse leve op til direktivets artikel 24, hvor det er foreskrevet, at medlemsstaterne skal træffe de nødvendige foranstaltninger til sikring af, at direktivet gennemføres i fuldt omfang, ligesom de bl.a. skal fastsætte de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til direktivets gennemførelse.

    Endelig bemærker udvalget, at bestemmelsen i den gældende lov om private registre § 28 om frakendelse af retten til at drive eller beskæftige sig med visse typer af virksomhed (advarselsregistre, kreditoplysningsbureauer og edb-servicebureauer) efter udvalgets opfattelse bør udvides til også at angå de tilfælde, hvor der ydes erhvervsmæssig bistand ved stillingsbesættelse, og hvor der føres retsinformationssystemer.

4.2.9.3. Justitsministeriets forslag

    Justitsministeriet kan tiltræde udvalgets forslag til erstatnings- og strafbestemmelser. Dog finder Justitsministeriet, at der - i lighed med i dag - bør være mulighed for at straffe den databehandler (edb-servicebureau), som ikke overholder sikkerhedsbestemmelserne i lovforslagets § 41, stk. 3, eller som ikke foretager anmeldelse til tilsynsmyndigheden, jf. lovforslagets § 53.

    Endvidere kan Justitsministeriet tiltræde udvalgets vurdering af, at der ikke er behov for udtrykkelige regler om domstolsprøvelse, idet der allerede er adgang hertil efter gældende ret.

    Bestemmelserne i lovforslagets §§ 69-71 skal ses på denne baggrund.

4.2.10. Mediernes forhold

4.2.10.1. Gældende ret

    Som anført ovenfor under pkt. 4.2.1.1. er mediernes edb-registre m.v. under nærmere angivne betingelser undtaget fra registerlovgivningen, jf. bestemmelserne i lov om offentlige myndigheders registre § 1, stk. 7- 9, og lov om private registre m.v. § 2, stk. 4-7.

    Ordningen i disse bestemmelser er nærmere bestemt den, at edb-registre, der er omfattet af lov om massemediers informationsdatabaser (lov nr. 430 af 1. juni 1994), falder uden for registerlovgivningens anvendelsesområde.

    Tilsvarende gælder for edb-registre, hvori der udelukkende er indlagt allerede offentliggjort materiale, der omfattes af medieansvarslovens § 1, nr. 1, 2 eller 3, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen (uredigerede fuldtekstdatabaser). Sådanne databaser er endvidere ikke omfattet af lov om massemediers informationsdatabaser, jf. bestemmelserne i denne lovs § 1, stk. 2 og 3, som omtales nærmere nedenfor.

    Uden for lov om private registre falder endelig manuelle arkiver over udklip fra offentliggjorte, trykte publikationer, jf. lovens § 2, stk. 7. Det bemærkes, at sådanne arkiver også falder uden for området for lov om offentlige myndigheders registre, jf. lovens § 1, stk. 1.

    Idet der i øvrigt henvises til betænkningen, side 132-137, kan reglerne i lov om massemediers informationsdatabaser i hovedtræk beskrives på følgende måde:

    Såvel de trykte som de elektroniske mediers informationsdatabaser undtages - såfremt visse nærmere betingelser er opfyldt - fra registerlovgivningens regler og undergives i stedet en særskilt regulering. Herved gøres det på den ene side lettere for massemedierne, ikke mindst dagspressen, at tage ny teknologi i brug i det journalistiske og redaktionelle arbejde. På den anden side opretholdes visse regler, som har til formål at sikre privatlivets fred.

    Loven gælder for informationsdatabaser, som er massemedier, eller som drives i tilknytning til en eller flere virksomheder, der udgiver massemedier (§ 1, stk. 1). Det er underordnet, om informationsdatabasen indgår som et integreret led i massemediets organisatoriske struktur, eller om den er udskilt som en organisatorisk set uafhængig del af det pågældende massemedie, f.eks. som et aktieselskab.

    Loven gælder ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvarslovens § 1, nr. 1 eller 2, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen (§ 1, stk. 2).

    Loven gælder efter § 1, stk. 3, endvidere ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte tekster, billeder og lydprogrammer, der omfattes af medieansvarslovens § 1, nr. 3, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen.

    De informationsdatabaser, der ikke er omfattet loven, vil herefter alene være reguleret af medieansvarslovens regler og lovgivningens almindelige straf- og erstatningsbestemmelser. Det drejer sig blandt andet om informationsdatabaser, som udgives af Ritzaus Bureau, og som udelukkende indeholder allerede offentliggjort materiale hidrørende fra bureauets nyhedstjenester.

    Ved massemedier forstås ifølge lovens § 2, stk. 1, de massemedier, der er omfattet af medieansvarsloven § 1. I betænkningen, side 133 f, beskrives det nærmere, hvornår der er tale om et »massemedie« i medieansvarslovens forstand.

    Ved informationsdatabaser forstås informationssystemer, hvor der gøres brug af elektronisk databehandling i forbindelse med formidling af nyheder og andre informationer (§ 2, stk. 2). Informationsdatabaser antages således også at kunne indeholde andre oplysninger end aktuelle oplysninger med nyhedspræg.

    Alle oplysninger, som naturligt indgår i et massemedies formidlingsvirksomhed, kan findes i informationsdatabasen, uden at denne derved falder uden for lovens område. Det er imidlertid forudsat, at der ikke er tale om registrering af personoplysninger, der går ud over de formål, som presse- og informationsfriheden skal tilgodese.

    Ved en redaktionel informationsdatabase forstås informationsdatabaser eller klart adskilte dele heraf, der alene drives som led i journalistisk eller redaktionelt arbejde med henblik på offentliggørelse i et massemedie, jf. § 2, stk. 3.

    En redaktionel informationsdatabase skal for at være omfattet af lov om massemediers informationsdatabaser være anmeldt til Registertilsynet, jf. § 3, stk. 1. Anmeldelse medfører, at registerlovgivningens almindelige regler om registrering og videregivelse ikke længere finder anvendelse.

    Registertilsynet stiller krav om, at anmeldelse af en redaktionel informationsdatabase skal ske skriftligt. Anmeldelsen kan ske på en særlig blanket. Det skal fremgå, fra hvilket massemedie anmeldelsen hidrører. Anmeldelsen skal være underskrevet af en person, der har fuldmagt til at handle på vegne af den person, virksomhed m.v., som er ansvarlig for informationsdatabasen, og det skal fremgå af anmeldelsen, hvad den vedrører, og hvornår den er indgivet. Desuden skal en anmeldelse indeholde det minimum af oplysninger, der gør det muligt for Registertilsynet at vurdere, om der er tale om en redaktionel informationsdatabase. Anmelderen af en redaktionel informationsdatabase skal således i det mindste oplyse, at der er tale om en redaktionel informationsdatabase, der opfylder betingelserne i lovens § 2, stk. 2 og 3.

    Et massemedie kan efter lovens § 3, stk. 2, indgive anmeldelse omfattende samtlige redaktionelle informationsdatabaser. Massemediet kan én gang for alle anmelde samtlige massemediets redaktionelle informationsdatabaser, det vil sige alle baser, massemediet til enhver tid måtte have. Massemediet behøver dermed ikke at indgive en ny anmeldelse, hver gang det får en ny informationsdatabase. Det står imidlertid massemediet frit for at vælge alene at anmelde en del af dets redaktionelle informationsdatabaser til Registertilsynet.

    Registertilsynet skal efter lovens § 3, stk. 3, hvert år offentliggøre en fortegnelse over anmeldte redaktionelle informationsdatabaser. Offentliggørelsen sker i Registertilsynets årsberetning. Fortegnelsen gør det muligt for Folketinget, pressen og andre interesserede at få overblik over, hvilke massemedier der driver redaktionelle informationsdatabaser.

    Registertilsynet har pr. 31. marts 1998 modtaget i alt 68 anmeldelser af redaktionelle informationsdatabaser.

    I henhold til lovens § 4, stk. 1, må en redaktionel informationsdatabase ikke være tilgængelig for andre end massemediets journalister og redaktionsmedarbejdere, og efter stk. 2 må journalister og redaktionsmedarbejdere ikke få adgang til eller benytte informationsdatabasen til andet end journalistisk arbejde.

    Der skal efter § 5 træffes de fornødne sikkerhedsforanstaltninger mod, at uvedkommende får adgang til en redaktionel informationsdatabase og mod benyttelse af informationsdatabasen til uvedkommende formål.

    En offentligt tilgængelig informationsdatabase skal for at blive omfattet af lov om massemediers informationsdatabaser dels være tilgængelig for enhver på almindelige forretningsvilkår, dels være anmeldt til Pressenævnet og Registertilsynet, jf. lovens § 6. Herudover skal det i forbindelse med anmeldelsen angives, hvem der er ansvarlig for informationsdatabasen. Undladelse heraf medfører, at informationsdatabasen ikke omfattes af loven, men af registerlovgivningen.

    Baggrunden for kravet om, at der skal ske anmeldelse til Registertilsynet, er, at Registertilsynet bør gøres bekendt med, at der findes et edb-system, som efter de almindelige regler i registerlovgivningen ville være underlagt Registertilsynets tilsynsbeføjelser, men som på grund af dets særlige karakter af offentligt tilgængelig informationsdatabase falder uden for Registertilsynets kompetence.

    Registertilsynet har pr. 31. marts 1998 modtaget tre anmeldelser af offentligt tilgængelige informationsdatabaser.

    Efter lovens § 6, stk. 2, er en offentligt tilgængelig informationsdatabase, som anmeldes efter stk. 1, ikke samtidig omfattet af medieansvarsloven, når bortses fra reglerne om genmæle og visse regler om Pressenævnets sammensætning og kompetence.

    Der stilles i lov om massemediers informationsdatabaser en række krav til, hvad offentligt tilgængelige databaser må indeholde af oplysninger, jf. lovens § 8. Af stk. 1 følger, at baserne ikke må indeholde informationer, der ikke lovligt kan offentliggøres i et massemedie. Heller ikke informationer, hvis offentliggørelse ville være i strid med god presseskik, må være indeholdt i baserne, jf. stk. 2. Hvis der er tale om informationer om enkeltpersoners rent private forhold, må opbevaring heraf ikke ske, når der er forløbet 3 år efter, at den begivenhed, der har givet anledning til optagelsen i databasen, fandt sted, eller, hvis et sådant tidspunkt ikke kan fastsættes, 3 år efter, at informationerne er optaget i databasen, jf. stk. 3. Dette gælder dog ikke, hvis der består en sådan interesse i, at de pågældende informationer er offentligt tilgængelige, at hensynet til den enkeltes interesse i, at informationerne slettes, findes at burde vige for hensynet til informationsfriheden, jf. stk. 4.

    Ifølge lovens § 9 skal der efter anmodning fra den, informationerne angår, foretages sletning, rettelse eller ajourføring, når 1) informationerne er urigtige eller vildledende, 2) en tidligere omtalt retsafgørelse eller administrativ afgørelse er blevet ændret eller 3) strafforfølgning i en tidligere omtalt sag opgives, eller når der i en sådan sag sker frifindelse.

    I stedet for at fremsætte anmodning om sletning, rettelse eller ajourføring, kan den, oplysningerne vedrører, eller efter dennes død de nærmeste pårørende, tage til genmæle, jf. nærmere lovens § 10.

    Efter lovens § 11,stk. 1, skal der gives enhver, der fremsætter anmodning herom, skriftlig meddelelse om de informationer, der er optaget i databasen om vedkommende selv, medmindre det er forbundet med uforholdsmæssigt store vanskeligheder at finde frem til informationerne. Den, der har fået meddelelse efter stk. 1, har ikke krav på ny meddelelse før 1 år efter sidste meddelelse, jf. stk. 2. Anmodning om indsigt skal besvares inden 4 uger, jf. stk. 3. Endelig kan justitsministeren fastsætte regler om betaling for skriftlige meddelelser, jf. stk. 4.

    Pressenævnet er det organ, der træffer afgørelse vedrørende en række forhold omkring anmeldte offentligt tilgængelige informationsdatabaser, jf. nærmere lovens §§ 12-14. Pressenævnet kan bl.a. efter anmodning give påbud om, at der foretages sletning af informationer, der strider mod bestemmelserne i § 8, stk. 2-4, ligesom nævnet også kan give påbud om, at der optages et genmæle (§ 13, stk. 1 og 2). Om Pressenævnets kompetence henvises nærmere til betænkningen, side 135.

4.2.10.2. Udvalgets overvejelser

    Udvalget har overvejet, om den gældende ordning vedrørende mediernes informationsdatabaser (registre) bør opretholdes samt i den forbindelse navnlig, om dette vil være foreneligt med direktivets artikel 9.

    Der er ikke enighed i udvalget om, hvorledes den fremtidige lovregulering af mediernes forhold bør være.

    Et flertal (14 medlemmer) finder, at det er muligt - inden for rammerne af direktivet, herunder artikel 9 - at opretholde den gældende ordning vedrørende mediernes registre m.v.

    Dog må der efter flertallets opfattelse som følge af direktivets artikel 23 foretages ændringer i bestemmelsen i lov om massemediers informationsdatabaser § 17, stk. 1, om erstatningsansvar, idet der må fastsættes et præsumptionsansvar (culpa med omvendt bevisbyrde).

    Endvidere må der efter flertallets opfattelse for så vidt angår databaser, der er omfattet af medieansvarsloven, samt manuelle arkiver fastsættes regler om behandlingssikkerhed. Disse regler foreslås udformet på baggrund af direktivets artikel 16 og 17. Der foreslås i den forbindelse ligeledes fastsat regler om erstatningsansvar ved overtrædelse af reglerne om behandlingssikkerhed, jf. herved direktivets artikel 23.

    Uden at det kan antages at være påkrævet efter direktivet, kan flertallet herudover tilslutte sig en række af de forslag til ændringer i lov om massemediers informationsdatabaser, som mindretallet finder, at der bør gennemføres.

    Flertallet kan således tilslutte sig mindretallets forslag om, at der for så vidt angår de redaktionelle databaser indsættes en regel til sikring af, at urigtige eller vildledende oplysninger ikke behandles, og at sådanne oplysninger i givet fald slettes eller berigtiges.

    Endvidere kan flertallet tiltræde mindretallets forslag om, at der med hensyn til de offentligt tilgængelige informationsdatabaser foretages en ændring af reglen i lovens § 9, således at den, der er ansvarlig for informationsdatabaser, også af egen drift skal sikre datakvaliteten. Flertallet kan også tiltræde mindretallets synspunkt om, at reglen i lovens § 11, stk. 1, sidste led, bør udgå, idet der ikke ses at være grundlag for, at et massemedie, i modsætning til alle andre, skal kunne afvise at give indsigt i oplysninger under henvisning til vanskelighederne ved at finde oplysningerne frem. Det forekommer endelig flertallet velbegrundet, at bestemmelsen i lovens § 11, stk. 2, formuleres i overensstemmelse med udvalgets generelle forslag om, at der skal gælde et interval på 6 måneder for fornyet »registerindsigt«, dog med mulighed for tidligere indsigt, hvis særlige grunde foreligger.

    Med hensyn til flertallets nærmere overvejelser og vurderinger vedrørende mediernes forhold henvises til betænkningen, side 192- 204.

    Et mindretal (4 medlemmer) er enig i, at der på grund af retten til ytringsfrihed bør tages særligt hensyn til massemedierne. Reglerne for behandling af personoplysninger bør imidlertid efter mindretallets opfattelse udformes på en sådan måde, at der samtidig sikres en passende balance mellem hensynet til beskyttelsen af privatlivets fred og hensynet til ytringsfriheden. Mindretallet henviser i den forbindelse bl.a. til, at når direktivet i artikel 9 foreskriver, at der kun kan fastsættes undtagelser fra direktivets regler, hvis det er nødvendigt for at forene retten til privatlivets fred med ytringsfriheden, er sigtet netop at sikre en passende balance.

    Mindretallet erklærer sig enig med udvalgets flertal i, at der tilkommer medlemsstaterne et forholdsvis frit skøn ved denne afvejning.

    Imidlertid peger mindretallet på en række forhold, der kan give anledning til tvivl med hensyn til, om lov om massemediers informationsdatabaser er forenelig med direktivets artikel 9. Samtidig fremkommer mindretallet - udover de forslag som et flertal i udvalget har kunnet tilslutte sig - med en række forslag til ændringer i lov om massemediers informationsdatabaser.

    I tilknytning hertil anfører mindretallet, at udvalget ikke kan eller bør stille konkrete forslag til en mere dybtgående revision af lov om massemediers informationsdatabaser. Mindretallet henviser herved dels til udvalgets kommissorium, der ikke omtaler en revision af lov om massemediers informationsdatabaser, dels til udvalgets sammensætning, navnlig det forhold at der i udvalget savnes repræsentanter for medierne. Mindretallet opfordrer derfor Justitsministeriet til at tage initiativ til, at en sådan revision nærmere vurderes.

    Der henvises nærmere til betænkningen, side 204- 206.

4.2.10.3. Justitsministeriets forslag

    I betænkningen har flertallet i udvalget redegjort nærmere for spørgsmålet om, hvorvidt det vil være foreneligt med direktivet at opretholde den nuværende ordning på medieområdet. Flertallet besvarer dette spørgsmål bekræftende. Flertallet anfører dog samtidig, at det - som følge af direktivet - er nødvendigt at foretage visse (mindre) ændringer.

    Justitsministeriet kan tilslutte sig flertallets opfattelse. Efter Justitsministeriets opfattelse må det således antages, at den nuværende ordning på medieområdet som udgangspunkt kan opretholdes. Justitsministeriet finder samtidig - ligesom flertallet i udvalget - at direktivet nødvendiggør visse (mindre) ændringer. Der skal således foretages ændringer i bestemmelsen i lov om massemediers informationsdatabaser § 17, stk. 1, om erstatningsansvar, ligesom der for så vidt angår databaser, der er omfattet af medieansvarsloven, samt manuelle arkiver skal fastsættes regler om behandlingssikkerhed. Der skal endvidere fastsættes udtrykkelige regler om erstatningsansvar ved overtrædelse af reglerne om behandlingssikkerhed.

    I den altovervejende del af de høringssvar, som er modtaget fra medierne, fremsættes kraftige indvendinger imod de øvrige forslag, som dels fremsættes af et enigt udvalg, dels af et mindretal i udvalget. I høringssvarene anføres det således, at der ikke bør foretages ændringer i lov om massemediers informationsdatabaser, medmindre dette må antages at være påkrævet til gennemførelse af direktivet. Som begrundelse herfor anføres bl.a., at de foreslåede ændringer strider mod det grundlag, som lov om massemediers informationsdatabaser hviler på, og som er grundigt beskrevet i betænkning nr. 1233/1992 om pressens informationsregistre og i selve loven og forarbejderne hertil. I den forbindelse peges der på, at grundlaget for loven netop er at tilgodese hensynet til, at pressen kan udføre sine opgaver så frit og effektivt som muligt, hvilket tilsiger, at pressen ikke i unødigt omfang bør være undergivet lovbestemte begrænsninger. Samtidig anføres det, at der ikke har vist sig problemer i tilknytning til den gældende lov om massemediers informationsdatabaser.

    På den anførte baggrund er de nævnte forslag ikke medtaget i lovforslaget, idet de bør overvejes nærmere i forbindelse med en eventuel mere generel revision af lov om massemediers informationsdatabaser.

    Justitsministeriet finder derimod, at der - i lyset af direktivet må fastsættes en udtrykkelig bestemmelse om behandlingssikkerheden i forbindelse med behandling af oplysninger i massemediers offentligt tilgængelige informationsdatabaser, jf. lovforslagets § 81, nr. 3.

    Endelig finder Justitsministeriet, at der i lovforslaget bør medtages en bestemmelse, hvorefter loven (bortset fra reglerne om behandlingssikkerhed og reglerne om erstatningsansvar ved overtrædelse af reglerne om behandlingssikkerhed) ikke skal finde anvendelse på behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed.

    Bestemmelsen tager sigte på den elektroniske behandling af personoplysninger, som udelukkende foretages i journalistisk øjemed i forbindelse med, at der udarbejdes artikler m.v. under anvendelse af tekstbehandlingssystemer. Denne behandling vil ikke være omfattet af anvendelsesområdet for lov om massemediers informationsdatabaser og kan dermed ikke - i kraft heraf - undtages fra lovens regler. Bestemmelsen giver således ikke mulighed for at oprette databaser m.v. i journalistisk øjemed. Sådanne databaser m.v. vil enten være omfattet af lovens almindelige regler eller af særordningen på området, jf. lovforslagets § 2, stk. 6-9.

4.2.11. Forholdet mellem lovforslaget og anden forvaltningsretlig lovgivning

4.2.11.1. Gældende ret

    Registerlovgivningen indeholder på en række punkter grænseflader til forvaltningsloven, offentlighedsloven og arkivlovgivningen.

A. Forholdet mellem lov om offentlige myndigheders registre og forvaltningsloven

    Lov om offentlige myndigheders registre indeholder berøringsflader til forvaltningsloven på følgende områder:

Reglerne om videregivelse af personoplysninger, jf. henholdsvis lov om offentlige myndigheders registre §§ 16-21, og forvaltningslovens §§ 27 og 28.

Reglerne om adgang til registerindsigt/aktindsigt i personoplysninger, jf. henholdsvis lov om offentlige myndigheders registre §§ 13-15, og forvaltningslovens §§ 9-18.

Reglerne om videregivelse af oplysninger

    Det er almindeligt antaget, at lov om offentlige myndigheders registre finder anvendelse, når der er tale om videregivelse direkte fra et edb-register. Baggrunden herfor er lovens karakter af speciallov.

    Ved en forvaltningsmyndigheds senere manuelle videregivelse af samme oplysninger finder videregivelsesreglerne i forvaltningsloven derimod anvendelse.

    Lov om offentlige myndigheders registre indeholder regler om forvaltningsmyndigheders videregivelse af personoplysninger til henholdsvis private og andre forvaltningsmyndigheder. Disse regler er nærmere beskrevet ovenfor i pkt. 4.2.4.1. (pkt. A).

    I de tilfælde hvor videregivelse af oplysninger ikke sker fra et edb-register, eller hvor der ikke er tale om videregivelse af personoplysninger, vil berettigelsen heraf i almindelighed skulle bedømmes efter reglerne i forvaltningslovens kapitel 8 om tavshedspligt m.v. Dette kapitel indeholder dels en bestemmelse om tavshedspligt (§ 27), dels nogle regler om forvaltningsmyndighedernes indbyrdes adgang til at videregive og indhente fortrolige oplysninger (§§ 28- 32). Disse regler er nærmere beskrevet i betænkningen, side 140 f.

Reglerne om indsigt

    Lov om offentlige myndigheders registre indeholder i kapitel 4 regler om registrerede personers adgang til oplysninger om sig selv (registerindsigt). Reglerne beskrives nærmere ovenfor under pkt. 4.2.5.1. (pkt. A).

    Reglerne i lov om offentlige myndigheders registre skal sammenholdes med reglerne om partsaktindsigt i forvaltningsloven.

    Af forvaltningslovens § 9, stk. 1, følger, at en part i en sag, hvori der er eller vil blive truffet afgørelse af en forvaltningsmyndighed, kan forlange at blive gjort bekendt med sagens dokumenter. Denne ret til aktindsigt omfatter bl.a. indførelser i journaler, registre og andre fortegnelser vedrørende den pågældende sags dokumenter, jf. lovens § 10, stk. 1, nr. 2. Der er ret til partsaktindsigt i en forvaltningsmyndigheds »elektroniske dokumenter« i samme omfang, som hvis de pågældende dokumenter havde foreligget i papirform. Der henvises herved til betænkningen, side 142.

    Fra udgangspunktet om parters adgang til aktindsigt i sagens dokumenter gælder en række undtagelser for så vidt angår visse sagstyper, dokumenttyper og typer af oplysninger. Der henvises i den forbindelse til bestemmelserne i lovens § 9, stk. 3, § 10, stk. 2, og §§ 12-15.

B. Forholdet mellem lov om offentlige myndigheders registre og offentlighedsloven

    Lov om offentlige myndigheders registre har berøringsflader til offentlighedsloven med hensyn til reglerne om indsigtsret.

    Reglerne i lov om offentlige myndigheders registre §§ 13-15 om den registreredes registerindsigt er beskrevet ovenfor i pkt. 4.2.5.1. (pkt. A), hvortil der henvises. Reglerne skal sammenholdes med offentlighedslovens regler om aktindsigt, herunder navnlig reglerne om egenacces.

    Efter offentlighedslovens § 4, stk. 1, 1. pkt., kan enhver med de undtagelser, der er nævnt i §§ 7-14, forlange at blive gjort bekendt med dokumenter, der er indgået til eller oprettet af en forvaltningsmyndighed som led i administrativ sagsbehandling i forbindelse med dens virksomhed. En forvaltningsmyndighed kan herudover under de i lovens § 4, stk. 1, 2. pkt., fastsatte betingelser give meroffentlighed i en sags dokumenter.

    Den, hvis personlige forhold er omtalt i et dokument, kan med de undtagelser, der er nævnt i §§ 7-11 og § 14, forlange at blive gjort bekendt med oplysningerne herom, jf. lovens § 4, stk. 2, 1. pkt. (egenacces). Dette gælder dog ikke i det omfang de hensyn, der er nævnt i § 13, eller hensynet til den pågældende selv eller andre med afgørende vægt taler herimod.

    Af lovens § 5, stk. 1, fremgår det, at retten til aktindsigt omfatter alle dokumenter, der vedrører sagen, herunder genpart af de skrivelser, der er udgået fra myndigheden, når skrivelserne må antages at være kommet frem til adressaten, jf. nr. 1, og indførelser i journaler, registre og andre fortegnelser vedrørende den pågældende sags dokumenter, jf. nr. 2.

    Retten til aktindsigt omfatter efter lovens § 5, stk. 2, dog ikke registre eller andre systematiserede fortegnelser, hvor der gøres brug af elektronisk databehandling, bortset fra fortegnelser som nævnt i stk. 1, nr. 2. Af forarbejderne til bestemmelsen i § 5, stk. 2, fremgår, at bestemmelsen skal ses i sammenhæng med lov om offentlige myndigheders registre, der som nævnt indeholder såvel regler om de registrerede personers adgang til at få oplysninger om sig selv som regler om adgangen til at videregive de registrerede oplysninger til private.

    Af forarbejderne fremgår endvidere, at offentlighedslovens dokumentbegreb ikke kun omfatter dokumenter, der foreligger i papirform, men f.eks. også dokumenter, der modtages, opbevares eller afsendes elektronisk uden anvendelse af papir. Der er således også efter offentlighedsloven ret til aktindsigt i en forvaltningsmyndigheds »elektroniske dokumenter« i samme omfang, som hvis de pågældende dokumenter havde foreligget i papirform.

    Om det nærmere forhold mellem reglerne i lov om offentlige myndigheders registre og offentlighedsloven, herunder om betydningen af offentlighedslovens § 5, stk. 2, henvises i øvrigt til betænkningen , side 142.

C. Forholdet mellem registerlovgivningen og arkivlovgivningen

    Også i relation til arkivlovginingen indeholder registerlovgivningen grænseflader.

    Som omtalt ovenfor under pkt. 4.2.4.1. (pkt. A) følger det af lov om offentlige myndigheders registre § 9, stk. 3, at registrerede oplysninger, der på grund af deres alder eller af andre grunde har mistet deres betydning for varetagelsen af registerets opgaver, som udgangspunkt skal slettes.

    Lovens § 9, stk. 4, åbner imidlertid mulighed for, at registre overføres til opbevaring i arkiv. Efter bestemmelsen kan Registertilsynet tillade, at registre, der føres for kommunale myndigheder, overføres til opbevaring i arkiv på nærmere angivne vilkår. Registre, der føres for statslige myndigheder, overføres til opbevaring i statens arkiver efter reglerne i lov om offentlige arkiver m.v.

    Udtrykkelige regler om arkivering af registre m.v. er ikke indeholdt i lov om private registre. Registertilsynet har imidlertid antaget, at dette ikke i sig selv indebærer, at der ikke vil kunne ske arkivering af registre, som er omfattet af loven.

    Nærmere regler om såvel forvaltningsmyndigheders som privates arkivering, herunder om forvaltningsmyndigheders pligt til at arkivere, er indeholdt i arkivlovgivningen.

    Med hensyn til forholdet mellem disse regler og registerlovgivningen henvises til betænkningen, side 145-150.

4.2.11.2. Udvalgets overvejelser

    I betænkningen, side 154-167, er redegjort for spørgsmålet om grænsefladerne mellem den kommende lov om behandling af personoplysninger og anden forvaltningsretlig lovgivning. Anførte sted er endvidere redegjort for udvalgets stillingtagen til spørgsmålet om, hvorvidt der bør udarbejdes en samlet lovgivning om enhver form for behandling af personoplysninger i den offentlige sektor.

Spørgsmålet om en samlet lovgivning om behandling af personoplysninger i den offentlige sektor

    Udvalget har ikke udarbejdet et udkast til en samlet lovgivning om enhver form (elektronisk og manuel) for behandling af personoplysninger i den offentlige sektor. Udvalget henviser herved bl.a. til, at udvalget efter sit kommissorium ikke har haft til opgave at foretage en egentlig revision af forvaltningsloven, offentlighedsloven og arkivlovgivningen. Endvidere henvises der til, at det ikke er muligt at foretage en egentlig revision af de nævnte love inden for det korte tidsrum, som udvalget har haft til sit arbejde, ligesom der også lægges vægt på, at lovgivningen om behandling af personoplysninger på en række punkter regulerer andre forhold end de nævnte love.

    Udvalget har som udgangspunkt heller ikke fundet at burde fremkomme med forslag til ændringer i de bestemmelser i forvaltningsloven, offentlighedsloven og arkivlovgivningen, der indeholder berøringsflader til lovudkastet. Udvalget lægger herved bl.a. vægt på, at udvalget efter sit kommissorium - som nævnt - ikke har til opgave at foretage en revision af den nævnte lovgivning, herunder overveje spørgsmålet om lovgivningens indhold og struktur. Se i den forbindelse nærmere betænkningen, side 155.

    Kun i det omfang det - i lyset af den kommende lov om behandling af personoplysninger - må anses for påkrævet, finder udvalget derfor anledning til at foreslå ændringer i de nævnte love.

    Udvalget finder i den forbindelse ikke, at det - som følge af udvalgets udkast til en kommende lov om behandling af personoplysninger - er påkrævet at foretage indholdsmæssige ændringer i forvaltningsloven og offentlighedsloven.

    Derimod anbefaler udvalget, at der - ud fra lovtekniske hensyn - foretages en præcisering i bestemmelsen i offentlighedslovens § 5, stk. 3, således at det fremgår, at lov om offentlige myndigheders registre afløses af en ny lovgivning. Om baggrunden herfor henvises til betænkningen, side 157 og 164.

    I tilknytning hertil peger udvalget på, at der for så vidt angår de foreslåede generelle regler om behandling, herunder videregivelse til tredjemand, af oplysninger, er grund til nøje at overveje samspillet med de modsvarende regler i forvaltningslovens kapitel 8 om tavshedspligt m.v. Det anbefales derfor, at det snarest overvejes, om - og i givet fald hvordan - reglerne om forvaltningsmyndigheders videregivelse af oplysninger kan tilpasses til de foreslåede regler om behandling af oplysninger. Der henvises til betænkningen, side 157 f og 159 f.

Grænsefladerne mellem lovgivningen om behandling af personoplysninger og anden forvaltningsretlig lovgivning

    Efter udvalgets opfattelse bør forholdet mellem på den ene side den kommende lov om behandling af personoplysninger og på den anden side forvaltningsloven og offentlighedsloven løses på samme måde som i dag.

    Udvalgets udkast til en ny lovgivning på området bygger således på den forudsætning, at der - ligesom lov om offentlige myndigheders registre - er tale om en specialregulering i forhold til reglerne i forvaltningsloven og offentlighedsloven.

    Det understreges dog samtidig, at der ikke tilsigtes at gøre indskrænkninger i de rettigheder, som en registreret person har efter forvaltningsloven og offentlighedsloven. Der henvises herved særligt til betænkningen, side 160-164.

    Hvad endelig angår forholdet mellem udvalgets udkast til en kommende lov om behandling af personoplysninger og arkivlovgivningen, henvises til betænkningen, side 164 ff.

    Den gældende offentligretlige lovgivning bygger på den ordning, at den løbende administrative behandling af oplysninger er omfattet af lov om offentlige myndigheders registre, og at privates løbende brug af oplysninger er reguleret i lov om private registre.

    I arkivlovgivningen reguleres den anvendelse til bl.a. forskning, der finder sted, efter at oplysningerne ikke længere anvendes administrativt eller til private formål.

    Det er udvalgets opfattelse, at denne lovsystematiske ordning bør opretholdes. Det foreslås derfor, at der i den kommende lovgivning om behandling af personoplysninger alene indsættes bestemmelser, der regulerer den dataansvarliges løbende behandling af oplysninger. Udvalget lægger i den forbindelse bl.a. vægt på, at Kulturministeriet har oplyst, at det for tiden overvejes, hvilke ændringer i arkivlovgivningen der bør foretages som følge af det vedtagne direktiv. Se herved betænkningen, side 156.

4.2.11.3. Justitsministeriets forslag

    Som nævnt i pkt. 4.1.3. ovenfor er Justitsministeriet enig i udvalgets valg af lovmodel. Justitsministeriet har derfor udarbejdet et lovforslag om behandling af oplysninger, der omfatter både den offentlige sektor (forvaltningsmyndighederne og domstolene) og den private sektor.

    Lovforslaget omfatter bl.a. forvaltningsmyndighedernes og domstolenes behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

    Uden for lovforslagets anvendelsesområde falder således den manuelle behandling af personoplysninger i den offentlige forvaltning og ved domstolene, der ikke indeholdes i et register. Denne behandling er - for så vidt angår forvaltningsmyndighederne - reguleret i bl.a. forvaltningsloven og offentlighedsloven og - for så vidt angår domstolene - i retsplejeloven. Reglerne i forvaltningsloven og retsplejeloven tager primært sigte på at regulere retsstillingen for de fysiske eller juridiske personer, som er parter i den pågældende forvaltningssag eller retssag. Deres primære sigte er således ikke at regulere retstillingen for den, der behandles personoplysninger om (»den registrerede«).

    På den anførte baggrund vil det efter Justitsministeriets opfattelse ikke være hensigtsmæssigt at indarbejde de nævnte regler i det foreliggende lovforslag om behandling af personoplysninger. Justitsministeriet kan således tilslutte sig, at udvalget ikke har udarbejdet et samlet lovforslag om behandling af personoplysninger i den offentlige sektor.

    Justitsministeriet kan endvidere tilslutte sig udvalgets forslag til (redaktionel) ændring i bestemmelsen i offentlighedslovens § 5, stk. 3, og udvalgets forslag til, hvordan samspillet mellem på den ene side den kommende lov om behandling af personoplysninger og på den anden side forvaltningsloven, offentlighedsloven og arkivlovgivningen skal løses.

    Samspillet mellem reglerne om adgang til indsigt efter lovforslaget, forvaltningsloven og offentlighedsloven kan i hovedtræk beskrives således:

    Efter lovforslaget har tredjemand ikke ret til aktindsigt i oplysninger om andre personer. Spørgsmålet skal derfor afgøres efter anden lovgivning, herunder reglerne i offentlighedsloven.

    Efter lovforslaget har den registrerede ret til egenacces. Der er også ret til aktindsigt (egenacces) efter reglerne i offentlighedsloven. Afgørelsen skal træffes på det retsgrundlag, der er mest gunstigt for den pågældende.

    En part i en afgørelsessag har ret til indsigt i oplysninger om sig selv (egenacces) efter lovforslagets regler herom og efter reglerne om aktindsigt i forvaltningsloven. Afgørelsen skal træffes på det retsgrundlag, der er mest gunstigt for den pågældende.

    Med hensyn til forholdet mellem reglerne i kapitel 8 i forvaltningsloven og lovforslagets behandlingsregler er der grund til at nævne, at lovforslagets regler om behandling af personoplysninger, der også omfatter videregivelse af personoplysninger, fortrænger reglerne om videregivelse i forvaltningslovens kapitel 8. Lovforslaget regulerer ikke spørgsmålet om indhentning af oplysninger i ansøgningssager eller om pligt til videregivelse af oplysninger. Reglerne herom i forvaltningslovens § 29 og § 31 gælder således også i relation til de personoplysninger, der er omfattet af lovforslaget. Det skal i den forbindelse fremhæves, at det er den dataansvarlige myndighed, som modtager en anmodning fra en anden myndighed om udlevering af oplysninger efter forvaltningslovens § 31, der skal vurdere berettigelsen heraf. Dette gælder uanset, om spørgsmålet om berettigelsen af videregivelsen af de pågældende oplysninger skal afgøres efter behandlingsreglerne i lovforslaget.

    Særligt hvad angår forholdet mellem forslaget til lov om behandling af personoplysninger og arkivlovgivningen, bemærkes, at lovforslaget bygger på den forudsætning, at spørgsmålet om arkivmæssig anvendelse (behandling) af personoplysninger afgøres efter arkivlovgivningens regler herom (og ikke efter reglerne i lov om behandling af personoplysninger kapitel 4), medens de øvrige generelle regler i lov om behandling af personoplysninger finder anvendelse på arkivmæssig behandling af personoplysninger, medmindre det databeskyttelsesretlige spørgsmål er reguleret i arkivlovgivningen. Justitsministeriet finder ikke, at spørgsmålet om, under hvilke betingelser kommunale edb-registre skal kunne overføres til opbevaring på arkiv, bør reguleres i loven om behandling af personoplysninger. Dette spørgsmål bør reguleres i arkivlovgivningen. I lovforslaget er derfor ikke medtaget en bestemmelse, der svarer til § 9, stk. 4, 1. pkt., i lov om offentlige myndigheders registre, hvorefter Registertilsynet kan tillade, at edb-registre, der føres for kommunale myndigheder, kan overføres til opbevaring i arkiv på nærmere angivne vilkår.

    Justitsministeriet er i øvrigt enig med udvalget i, at der bør ses nærmere på samspillet mellem lovforslagets almindelige regler om behandling, herunder videregivelse til tredjemand, af oplysninger, og reglerne i forvaltningslovens kapitel 8 om tavshedspligt og videregivelse m.v.

    Der opstår i den forbindelse en række spørgsmål. Således kan der f.eks. rejses spørgsmål om, hvorvidt forvaltningslovens regler om udveksling af personoplysninger mellem forvaltningsmyndigheder bør ændres, således at de helt eller delvis svarer til reglerne herom i dette lovforslag. Det bemærkes herved, at reglerne i lovforslaget er baseret på det nævnte EF-direktiv og således ikke kan fraviges for så vidt angår de områder, der er omfattet af direktivet. Der kan endvidere bl.a. rejses spørgsmål om, hvorvidt der bør ske ændringer i forvaltningslovens regler om udveksling af personoplysninger mellem forvaltningsmyndigheder om juridiske personer. Det bemærkes herved, at direktivet ikke regulerer dette spørgsmål.

    Justitsministeriet vil behandle den nævnte problemstilling nærmere efter vedtagelsen af den nye lov om behandling af personoplysninger, således at der i givet fald så hurtigt som muligt vil kunne fremsættes lovforslag på området.

4.2.12. Særligt om ny informationsteknologi

4.2.12.1. Gældende ret

    I den gældende registerlovgivning er der ikke, bortset fra sondringen mellem manuelle registre og edb-registre, fastsat regler, der tager sigte på særlige former for informationsteknologi.

    I det omfang, registrering og videregivelse m.v. af oplysninger er omfattet af lovgivningens område, vil lovligheden heraf således skulle bedømmes ud fra de samme regler, uanset hvilket informationsteknologisk medie den registeransvarlige benytter sig af.

    Dette forhold betyder dog ikke, at der ikke ved bedømmelsen af lovligheden af registrering og videregivelse m.v. af oplysninger kan tages hensyn til, hvilket informationsteknologiske medie der benyttes.

    Registertilsynet har således i sin praksis f.eks. udtalt sig om kryptering i forbindelse med forsendelse af elektronisk post via Internettet, om benyttelse af firewalls, såfremt der opbevares følsomme oplysninger på computere, hvorfra der kan foretages opkobling til Internettet, samt om anvendelse af opkaldslinier i forbindelse med brugen af hjemmearbejdspladser.

    Det bemærkes i øvrigt, at lovgivningen i ganske begrænset omfang indeholder regler, som tager sigte på særlige medier. Der henvises herved bl.a. til § 11 i lov om private registre m.v. om den registreredes indsigtsret i kreditoplysningsbureauers materiale (kartotekskort, hulkort, magnetbånd m.v.).

4.2.12.2. Udvalgets overvejelser

    I betænkningen, side 168-171, er redegjort for, om - og i givet fald i hvilket omfang - den kommende lovgivning om behandling af personoplysninger skal omfatte nye informationsteknologiske medier, såsom Internettet og World Wide Web (WWW).

    Som anført ovenfor i pkt. 4.2.1.2. finder udvalget, at den kommende lovs område må fastlægges således, at det bl.a. omfatter behandling af personoplysninger, der helt eller delvis foretages ved hjælp af elektronisk databehandling. Lovens område vil herved også komme til at omfatte elektronisk behandling af oplysninger i nye informationsteknologiske medier, såsom Internet og World Wide Web (WWW). Dette indebærer bl.a., at spørgsmål om lovligheden af behandling af oplysninger i sådanne systemer vil skulle bedømmes efter lovens regler, herunder navnlig de foreslåede regler om behandling af oplysninger.

    Med valget af denne lovtekniske fremgangsmåde tilsigter udvalget at fremtidssikre loven. Udvalget fremhæver herved, at den fremtidige lovgivning - i modsætning til i dag - vil komme til at gælde for elektronisk behandling af oplysninger i bred forstand. Dermed vil det ikke mere være et krav, at der er tale om et edb-register, og som en følge heraf vil der med den kommende lovgivning i højere grad kunne tages højde for den situation, at behandling af personoplysninger sker i nyere informationsteknologiske medier. Omfattet af lovens regler vil med andre ord være personoplysninger m.v. på Internettet i det omfang, den dataansvarlige gør oplysningerne til genstand for behandling i dette medie.

    I lyset heraf finder udvalget, at der ikke bør indsættes særlige regler for visse former for informationsteknologiske medier i den kommende lovgivning. Udvalget lægger herved vægt på, at behandling af oplysninger i eksempelvis nye elektroniske medier principielt bør være undergivet de samme regler som anden elektronisk behandling. Dette stemmer også bedst overens med direktivet, idet det synes vanskeligt at begrunde, at der skal gælde en forskellig regulering afhængig af, i hvilket elektronisk medie behandling af oplysninger finder sted.

    Endvidere synes det efter udvalgets opfattelse heller ikke på nuværende tidspunkt muligt at klarlægge, i hvilket omfang der bør ske en sådan særregulering. Udvalget bemærker i den forbindelse, at der for tiden såvel på nationalt plan som i forskellige internationale sammenhænge arbejdes på at identificere og beskrive de problemstillinger og muligheder, som brugen af Internettet kan medføre. Der henvises nærmere til betænkningen, side 169.

    Udvalget har endvidere overvejet spørgsmålet om, hvorvidt der - i lyset af den udbredte brug af informationsteknologi såvel i den offentlige forvaltning som hos private - bør fastsættes særlige regler vedrørende pligtmæssig brug af informationsteknologi. Udvalget bemærker i den forbindelse, at der er tale om et spørgsmål, som ikke er reguleret i direktivet, og at medlemsstaterne derfor står frit med hensyn til spørgsmålet om, hvorvidt og i givet fald i hvilken udstrækning tilsynsmyndigheder, dataansvarlige m.v. bør kunne forpligtes til at anvende edb-tekniske hjælpemidler.

    Navnlig i følgende situationer kunne det efter udvalgets opfattelse komme på tale at anvende Internettet:

1) De dataansvarlige kan via Internettet give de registrerede mulighed for indsigt i oplysninger om dem selv.

2) Datatilsynet kan gøre den fortegnelse over behandlinger, som de dataansvarlige har anmeldt, offentligt tilgængelig via Internettet.

3) Datatilsynet kan give de dataansvarlige mulighed for via Internettet at anmelde behandlinger til tilsynet.

4) De dataansvarliges pligt til at stille en række oplysninger om deres behandlinger til rådighed for enhver, der anmoder herom, vil kunne opfyldes gennem en offentliggørelse af de pågældende oplysninger på de dataansvarliges hjemmesider på Internettet.

    Udvalget finder ikke, at der på nuværende tidspunkt gennem lovgivningen bør fastsættes en egentlig pligt for tilsynsmyndigheder, dataansvarlige m.v. til at anvende informationsteknologi i forbindelse med udøvelse af aktiviteter, som omfattes af lovgivningen. Der lægges herved vægt på, at konsekvenserne af et sådant lovkrav ikke på nuværende tidspunkt synes at kunne overskues fuldt ud. I stedet finder udvalget det naturligt, at det overlades til de berørte myndigheder m.v. selv at vurdere, om de fornødne rammer for at tage edb-tekniske hjælpemidler i brug er til stede. Udvalget bemærker herved bl.a., at den moderne informationsteknologi medfører stærkt forbedrede kommunikationsmuligheder, som det med tiden vil være naturligt at anvende med henblik på en faktisk styrkelse af den databeskyttelsesretlige regulering. Internettet og tilsvarende netværk bør i den forbindelse spille en fremtrædende rolle, idet denne teknologi bør nyttiggøres, så snart mulighederne herfor er tilstrækkeligt sikre og de dataansvarlige og tilsynsmyndighederne må forventes at være i stand til udnytte teknologien.

    Endvidere anfører udvalget, at såfremt der etableres mulighed for, at registrerede personer kan få indsigt i oplysninger om dem selv via Internettet, må de enkelte IT-systemer først indrettes på on-line indsigt, herunder forsynes med de nødvendige sikkerhedsforanstaltninger mod uautoriseret adgang til data, i hvilken forbindelse brug af digital signatur kan være nødvendig.

4.2.12.3. Justitsministeriets forslag

    Justitsministeriet kan tilslutte sig udvalgets synspunkter vedrørende spørgsmålet om, hvorvidt der i den kommende lovgivning om behandling af personoplysninger bør medtages regler, der tager sigte på behandling af oplysninger i forbindelse med anvendelse af særlige informationsteknologiske medier, såsom Internettet og World Wide Web (WWW). På denne baggrund har Justitsministeriet udarbejdet et lovforslag, som er teknologiuafhængigt i den forstand, at reglerne gælder for al form for elektronisk databehandling af oplysninger.

    Justitsministeriet kan endvidere tiltræde, at der ikke efter lovgivningen pålægges de dataansvarlige en pligt til at anvende nærmere bestemte former for informationsteknologi, f.eks. Internettet, i forbindelse med behandling af oplysninger. Justitsministeriet finder det - ligesom udvalget - naturligt, at det overlades til de berørte myndigheder, virksomheder m.v. selv at vurdere, om de fornødne rammer for at tage edb-tekniske hjælpemidler i brug er til stede.

    Registertilsynet har over for Justitsministeriet oplyst, at tilsynet har oprettet en hjemmeside på Internettet. Hjemmesiden indeholder information om en række forhold, herunder bl.a. om Registertilsynet, om lovgivningen samt om publikationer og rapporter. Endvidere er der mulighed for via hjemmesiden at bestille blanketter til brug for anmeldelse. Endelig vil det blive muligt for de dataansvarlige via Internettet at anmelde behandlinger til tilsynet, ligesom tilsynet også vil gøre den fortegnelse over behandlinger, som de dataansvarlige har anmeldt, offentligt tilgængelig via Internettet.

5. Økonomiske og administrative konsekvenser m.v.

    Efter lovforslaget skal der inden den 1. januar 2001 ske anmeldelse af visse allerede eksisterende behandlinger, der foretages af forvaltningsmyndighederne. Endvidere vil lovforslaget som noget nyt inddrage manuelle registre under ordningen.

    Udarbejdelsen af anmeldelserne kan ikke antages at blive særlig arbejdskrævende.

    En væsentlig konsekvens af lovforslaget vil derimod være, at den eksisterende pligt til at udarbejde forskrifter for registre ophæves, idet det istedet vil være tilstrækkeligt at anmelde disse til tilsynsmyndigheden. Det vil tillige blive lettere og mere smidigt at foretage ændringer i anmeldelserne. Dertil kommer, at også anmeldelsespligten ophæves for en række registre, der navnlig mod anmeldelse tidligere har været fritaget for pligten til at udarbejde registerforskrifter. Endvidere ophæves det hidtidige krav om politisk godkendelse i forbindelse med oprettelse af edb-registre.

    Dette vil indebære en betydelig lettelse for de forvaltningsmyndigheder, der i dag er omfattet af lov om offentlige myndigheders registre, herunder de kommunale myndigheder.

    Inddragelse af manuelle registre under ordningen om anmeldelsespligt skønnes ikke i nævneværdigt omfang at ville give anledning til selvstændige anmeldelser, jf. herved eksemplet i betænkningens bilag 18.

    Lovforslaget vil i den forbindelse indebære en lettelse af overgangen til edb-behandling, idet der efter den foreslåede ordning ikke vil skulle udarbejdes registerforskrifter.

    Anmeldelsespligten, herunder inddragelsen af manuelle registre under loven, antages på denne baggrund at medføre en vis administrativ lettelse for det offentlige.

    Lovforslaget medfører tillige, at myndighederne i visse situationer får pligt til at give borgerne en række oplysninger i forbindelse med, at de indsamler oplysninger. Oplysningspligten må antages i et vist omfang at kunne opfyldes samtidig med andre sagsbehandlingsskridt. Dertil kommer, at der med lovforslaget er lagt op til, at der kan ske undtagelse fra oplysningspligten i en række tilfælde, navnlig hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig. Omfanget af oplysningspligten vil i vidt omfang blive fastlagt i tilsynsmyndighedernes praksis. På nuværende tidspunkt er det derfor behæftet med stor usikkerhed at skønne over udgifterne hertil. I nogle situationer vil det dog formentlig isoleret set medføre øget administration for forvaltningerne.

    Lovforslaget vil tillige medføre, at borgerne får visse videregående rettigheder, end det er tilfældet i dag. Det er forbundet med betydelig usikkerhed at skønne over de administrative konsekvenser heraf.

    Samlet set skønnes lovforslaget imidlertid ikke at ville medføre merudgifter af betydning for det offentlige, jf. dog nedenfor.

    Som noget nyt vil lovgivningen også komme til at omfatte domstolene. Domstolene vil som følge af at de hidtil har været undtaget fra registerloven ikke opnå den lettelse, der følger af, at pligten til at udarbejde registerforskrifter foreslås ophævet. Endvidere skal de overordnede retter fremover varetage de opgaver, der følger af at være tilsynsmyndighed.

    Den 1. juli 1999 overgik administrationen af domstolene til Domstolsstyrelsen. Efter lovforslaget skal tilsynet med domstolenes behandling af personoplysninger vedrørende administrative forhold herefter varetages af Domstolsstyrelsen.

    Lovforslaget skønnes på domstolsområdet at indebære etableringsudgifter på ca. 2 mio. kr. Driftsudgifterne ved lovforslaget skønnes i 2000 at udgøre 3,6 mio. kr., heraf 0,8 mio. kr. lønsum. I år 2001 og de følgende år skønnes driftudgiften at udgøre 3. mio. kr., heraf 1,4 mio. kr. lønsum. Finansieringen heraf vil indgå i fastlæggelsen af de samlede bevillingsmæssige rammer for domstolene og Domstolsstyrelsen.

    Det nuværende Registertilsyn vil med lovforslaget overgå til at hedde Datatilsynet, men vil i øvrigt være organiseret på samme måde som i dag. For tilsynets vedkommende vil lovforslaget på den ene side indebære en arbejdsmæssig lettelse, navnlig fordi tilsynet ikke længere modtager udkast til registerforskrifter til udtalelse. Samtidig indebærer lovforslaget imidlertid en væsentlig udvidelse af tilsynets arbejdsområde og kompetence.

    Det skønnes, at lovforslaget samlet vil indebære en forøgelse af arbejdsbyrden i tilsynet. Der vil således være behov for at foretage en personalemæssig styrkelse af Datatilsynet i forhold til det nuværende Registertilsyn, svarende til ansættelse af yderligere 3 medarbejdere, bl.a. med IT-faglig kundskab.

    Herudover vil der være udgifter forbundet med driften af den under lovforslagets § 54, stk. 1, anførte fortegnelse over alle anmeldte behandlinger. Denne fortegnelse forventes etableret som et elektronisk register, offentligt tilgængeligt over Internettet via Datatilsynets hjemmeside.

    Endelig indebærer lovforslaget etableringsudgifter for Datatilsynet. Dette skyldes navnlig etableringen af Datatilsynets nye hjemmeside med tilhørende faciliteter for fortegnelsen over anmeldte behandlinger og med mulighed for offentlige myndigheder og private virksomheder for at foretage elektronisk anmeldelse af behandlinger til Datatilsynet. Hertil kommer forskellige øvrige udgifter, som vil være forbundet med den nye lovgivning, herunder udarbejdelse af informationsmateriale, og etablering af Datatilsynet som afløsning for Registertilsynet.

    Lovforslaget vurderes samlet at indebære etableringsudgifter for Datatilsynet på 2,6 mio. kr. Forøgelsen af de årlige driftsudgifter vil udgøre 1,6 mio. kr., heraf 1,2 mio. kr. lønsum. Da EF-direktivet er trådt i kraft, er merudgifterne allerede tilført Registertilsynet.

    Der har ikke fundet forhandlinger sted med de kommunale parter forud for lovforslagets fremsættelse. Disse har dog været hørt over det senest fremsatte lovforslag.

    Efter Justitsministeriets opfattelse vil lovforslaget heller ikke for de kommunale parter medføre merudgifter af betydning. Der pågår drøftelser med de kommunale parter herom.

    For så vidt angår lovforslagets erhvervsøkonomiske konsekvenser, kan det oplyses, at Justitsministeriet har forelagt udvalgets forslag til en ny lovgivning om behandling af personoplysninger for Erhvervsministeriets Testpanel.

    Resultatet heraf er, at det af Udvalget om Registerlovgivningen udarbejdede lovudkast af 89 % af virksomhederne vurderes at ville være administrativt neutralt. Enkelte virksomheder vurderer, at lovudkastet har administrative konsekvenser for dem. Således vurderer 1 % af virksomhederne, at lovudkastet vil medføre administrative engangslettelser for dem, medens 2 % anslår, at de vil få engangsbyrder til bl.a. at sætte sig ind i de nye regler. 2 % vil desuden få behov for ekstern rådgivning på engangsbasis. Med hensyn til de løbende administrative konsekvenser vurderer 3 %, at de vil få administrative lettelser, medens 2 % forudser løbende administrative byrder, bl.a. til opdatering af edb. 2 % vil desuden få brug for løbende ekstern rådgivning.

    Lovforslaget har ikke miljømæssige konsekvenser.

6. Høring

    Justitsministeriet har modtaget høringssvar over betænkningen fra følgende myndigheder, organisationer m.v.:

    Samtlige ministerier, Præsidenten for Højesteret, Præsidenten for Østre Landsret, Præsidenten for Vestre Landsret, Præsidenten for Sø- og Handelsretten, Præsidenten for Københavns Byret, Præsidenten for Retten i Århus, Præsidenten for Retten i Odense, Præsidenten for Retten i Aalborg, Præsidenten for Retten i Roskilde, Den Danske Dommerforening, Dommerfuldmægtigforeningen, Rigsadvokaten, Rigspolitichefen, Politidirektøren i København, Foreningen af Politimestre i Danmark, Dansk Politiforbund, Dansk Kriminalpolitiforening, Registertilsynet, Amtsrådsforeningen i Danmark, Kommunernes Landsforening, Københavns Kommune, Frederiksberg Kommune, Advokatrådet, Forbrugerrådet, Landsorganisationen i Danmark, Dansk Industri, Dansk Arbejdsgiverforening, Finansrådet, Rådet for Dansk Forsikring og Pension, Realkreditrådet, TV 2, Danmarks Radio, Danske Dagblades Forening, Dansk Journalistforbund, Dansk Fagpresseforening, Sammenslutningen af Lokale Radio- og TV-stationer, PROSA, Den almindelige danske Lægeforening, Funktionærernes og Tjenestemændene Fællesråd, Dansk Detail Kreditråd, Danske Reklamebureauers Brancheforening, Dansk Dataforening, Handelskammeret, Post Danmark, Foreningen af Danske Medicinfabrikker, RKI Kreditinformation A/S, Dansk Forening for Medicinsk Udstyr, Projekt Rejsekort, Foreningen af Markedsanalyseinstitutter i Danmark (FMD) og Dansk Institut for klinisk Epidemiologi (DIKE).

Bemærkninger til lovforslagets enkelte bestemmelser

Til kapitel 1

Lovens område

    I kapitlet fastlægges lovens anvendelsesområde. I § 1, stk. 1, angives lovens centrale område. § 1, stk. 2- 4, omhandler visse former for behandlinger, som ikke omfattes af beskrivelsen i stk. 1, men som også bør inddrages under den regulering, der tilsigtes med loven. Endvidere er der i § 1, stk. 5 og 6, indsat bemyndigelsesbestemmelser, hvorefter der kan ske en udvidelse af lovens område.

    Begrænsninger i lovens anvendelsesområde er fastsat i § 2, stk. 1-11.

Til § 1

Til stk. 1

    Direktivets artikel 3 indebærer, at der må foretages ændringer i anvendelsesområdet for den gældende registerlovgivning. Under hensyn hertil foreslås det, at lovens almindelige anvendelsesområde fastlægges således, at det omfatter behandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

    Lovens område omfatter al behandling, uanset for hvem behandlingen måtte blive foretaget. Loven vil herefter ikke alene regulere den offentlige forvaltning og private, men også den behandling af oplysninger, der foretages for domstolene. Det foreslås dog ikke, at behandling af oplysninger, der foretages for Folketinget eller institutioner med tilknytning dertil, omfattes af lovens område, jf. § 2, stk. 5. Specielt for så vidt angår privates behandling af personoplysninger, indebærer lovens meget brede anvendelsesområde, at ikke kun private organer, såsom erhvervsvirksomheder, organisationer, foreninger, stiftelser m.v., er omfattet af lovens område. Omfattet er også privatpersoners behandling af oplysninger. Heraf følger, at privatpersoner i modsætning til, hvad der følger af lov om private registre vil kunne foretage behandling af personoplysninger i overensstemmelse med lovens regler. Privatpersoners behandling af oplysninger som led i udøvelse af aktiviteter af rent privat karakter omfattes dog ikke af lovens regler, jf. § 2, stk. 3. Hertil kommer, at loven ikke finder anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10 (lovforslagets § 2, stk. 2).

    Efter bestemmelsen er den type af oplysninger, som er beskyttet, personoplysninger. Hvad der skal forstås ved begrebet personoplysninger er fastsat i § 3, nr. 1. Udenfor lovens almindelige anvendelsesområde falder oplysninger om juridiske personer. I et vist omfang gælder lovens regler dog for behandling af oplysninger om juridiske personer, jf. § 1, stk. 3-6.

    Lovens almindelige anvendelsesområde er endvidere begrænset til at gælde for hel eller delvis elektronisk behandling af personoplysninger, og behandling af personoplysninger, der er eller vil blive indeholdt i et manuelt register. Hvad der skal forstås ved begreberne behandling og register er fastsat i § 3, nr. 2 og 3. Uden for lovens almindelige anvendelsesområde falder manuel behandling af oplysninger, der ikke er eller vil blive indeholdt i et register. I det omfang, behandling af personoplysninger sker såvel elektronisk som manuelt, f.eks. ved at der sker elektronisk journalisering og sagsstyring af en manuel sag, vil den behandling, som knytter sig til den manuelle sag, således ikke være omfattet af lovens almindelige anvendelsesområde. Derimod vil den elektroniske journalisering og sagsstyring være omfattet. Det bemærkes, at en række af lovens bestemmelser finder anvendelse på anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter visse typer af oplysninger om fysiske personer, jf. stk. 2. Systematiserede manuelle sager er således også i et vist omfang omfattet af lovens regulering.

Til stk. 2

    Efter § 1, stk. 1, i lov om private registre må systematisk registrering, der omfatter oplysninger om personers, institutioners, foreningers eller virksomheders private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, kun finde sted efter reglerne i lovens kapitel 2, 2 a, 2 b, 2 c og 3.

    Bestemmelsen i stk. 2 viderefører i det væsentlige denne retstilstand. Bestemmelsen omfatter således anden form for ikke-elektronisk systematiseret behandling af oplysninger end den ikke-elektroniske behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. stk. 1. Inden for lovens område falder dermed bl.a. behandling af oplysninger i en samling aktmapper. Kravet om, at behandlingen skal være systematiseret, betyder, at bestemmelsen ikke omhandler enkeltstående eller mere tilfældige behandlinger af oplysninger.

    De, der er beskyttet efter bestemmelsen, er fysiske personer. Uden for falder offentlige myndigheder, institutioner, foreninger og virksomheder, som er organiseret i selskabsform. Kredsen af beskyttede retssubjekter er således i forhold til den gældende bestemmelse i lov om private registre § 1, stk. 1, begrænset til fysiske personer.

    De interesser, der beskyttes efter bestemmelsen, er oplysninger om fysiske personers private eller økonomiske forhold eller oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Bestemmelsen svarer til de typer af oplysninger om fysiske personer, som er omfattet af bestemmelsen i lov om private registre § 1, stk. 1.

    Det bemærkes, at reglerne i kapitel 8 og 9 om oplysningspligt over for den registrerede og om indsigtsret ikke finder anvendelse på behandlinger, som falder ind under bestemmelsen i stk. 2.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.1.2.

Til stk. 3

    Af lov om private registre følger, at loven omfatter kreditoplysningsbureauers håndtering af visse former for oplysninger om henholdsvis fysiske og juridiske personer, jf. lovens § 1, stk. 1, sammenholdt med reglerne i kapitel 3. Også med hensyn til private dataansvarliges håndtering af oplysninger om juridiske personer, som måtte være indeholdt i advarselsregistre, gælder lov om private registre, jf. lovens § 1, stk. 1, sammenholdt med § 3, stk. 6.

    I overensstemmelse hermed foreslås det i bestemmelsen, at lov om behandling af personoplysninger umiddelbart skal gælde for behandlinger, som udføres for kreditoplysningsbureauer, og som omfatter oplysninger om virksomheder m.v. Tilsvarende foreslås med hensyn til behandlinger, som er omfattet af bestemmelsen i § 50, stk. 1, nr. 2 (»advarselsregistre«). Med indsættelsen af henvisningen til stk. 1 og 2 præciseres det, at udvidelsen af lovens område til også at angå behandling af oplysninger om juridiske personer kun gælder for så vidt angår de behandlingsformer, som i øvrigt er omfattet af loven. Udenfor den foreslåede bestemmelse falder således kreditoplysnings- og advarselsbureauers manuelle behandling af oplysninger om virksomheder m.v., som ikke sker i tilknytning til et manuelt register, jf. stk. 1, eller i øvrigt ikke er systematisk i stk. 2's forstand.

    Omfattet af udtrykket virksomheder m.v. er alle former for erhvervsvirksomheder, erhvervsdrivende, institutioner, foreninger og lignende, uanset om der er tale om en juridisk person eller ej. Bestemmelsen omfatter således også oplysninger om enkeltmandsejede virksomheder, uanset at sådanne oplysninger, der må anses for at være personoplysninger, jf. § 3, nr. 1, tillige falder ind under lovens almindelige anvendelsesområde, således som dette er fastsat i § 1, stk. 1.

Til stk. 4

    Bestemmelsen viderefører reglen i lov om offentlige myndigheders registre § 1, stk. 4. Heraf følger, at reglerne i lovens kapitel 5 a om videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige også gælder for edb-registre, der føres for den offentlige forvaltning, og som indeholder oplysninger om virksomheder m.v.

    Reglerne i kapitel 5 gælder, uanset om der er tale om videregivelse af elektronisk behandlede oplysninger, eller om videregivelse af oplysninger, der hidrører fra et manuelt register, jf. stk. 1. Bestemmelsen er udtryk for en nyskabelse i forhold til den gældende ordning. Baggrunden herfor er, at spørgsmålet om en dataansvarlig forvaltningsmyndigheds adgang til at videregive de nævnte oplysninger ikke bør afhænge af, om oplysningerne er behandlet elektronisk eller hidrører fra et manuelt register.

Til stk. 5

    Behandlinger, som udføres for private, og som omfatter oplysninger om juridiske personer, er kun i begrænset omfang umiddelbart omfattet af loven, jf. stk. 3.

    Efter bestemmelsen bemyndiges justitsministeren til at inddrage behandling af oplysninger om juridiske personer under lovens område. Bestemmelsen sikrer, at de nævnte behandlinger, hvis der findes at være et behov herfor, kan reguleres efter de regler i loven, som efter deres indhold vedrører behandling i privat regi.

    Hvis bemyndigelsesbestemmelsen ønskes udnyttet, vil der i overensstemmelse med § 57 forinden skulle indhentes en udtalelse fra Datatilsynet.

Til stk. 6

    Behandlinger, som udføres for den offentlige forvaltning, og som omfatter oplysninger om juridiske personer, er kun i begrænset omfang umiddelbart omfattet af loven, jf. stk. 4.

    Efter bestemmelsen bemyndiges vedkommende minister til at inddrage behandling af oplysninger om juridiske personer under lovens område. Herved sikres det, at de nævnte behandlinger, hvis der findes at være et behov herfor, kan reguleres efter de regler i loven, som efter deres indhold vedrører behandling, som udføres for den offentlige forvaltning.

    Hvis bemyndigelsesbestemmelsen ønskes udnyttet, vil der - ligesom det er tilfældet efter bestemmelsen i stk. 5 - forinden skulle indhentes en udtalelse fra Datatilsynet, jf. § 57.

Til § 2

Til stk. 1

    Med den foreslåede bestemmelse fastsættes det udtrykkeligt, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov.

    Bestemmelsen indebærer bl.a., at behandlingsreglerne i lovforslagets §§ 6-8 ikke finder anvendelse på sundhedspersoners videregivelse af fortrolige oplysninger, idet dette spørgsmål vil skulle afgøres efter de mere restriktive videregivelsesregler i kapitel 5 i loven om patienters retsstilling. Nævnes kan endvidere reglerne i loven om brug af helbredsoplysninger m.v. på arbejdsmarkedet, der for så vidt angår spørgsmålet om arbejdsgiveres adgang til at indhente oplysninger om bl.a. helbredsmæssige forhold giver den registrerede en bedre retsstilling end lovforslagets behandlingsregler. Endelig kan det nævnes, at tavshedspligtsreglerne i den finansielle lovgivning, f.eks. bank- og sparekasselovgivningen, vil gå forud for behandlingsreglerne i lovforslaget.

    Omvendt følger det af bestemmelsen, at lovforslaget finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Dette gælder dog ikke, hvis den dårligere retsstilling har været tilsigtet og i øvrigt ikke strider mod direktivet om behandling af personoplysninger.

    I øvrigt henvises til lovforslagets pkt. 4.2.11.2. og 4.2.11.3., hvor der er redegjort for spørgsmålet om forholdet mellem på den ene side reglerne i lovforslaget og på den anden side reglerne i henholdsvis forvaltningsloven og offentlighedsloven.

Til stk. 2

    Af bestemmelsen følger, at loven ikke finder anvendelse, hvis det vil stride mod informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10. Bestemmelsen er indsat for at fjerne enhver tvivl om, at der ikke med lovforslaget gennemføres en regulering, der indebærer begrænsninger i den informations- og ytringsfrihed, som følger af den nævnte bestemmelse i Den Europæiske Menneskerettighedskonvention.

    Det er en selvfølge, at loven i øvrigt administreres således, at der ikke handles i strid med Danmarks internationale forpligtelser, herunder de øvrige bestemmelser i Den Europæiske Menneskerettighedskonvention.

Til stk. 3

    Den foreslåede bestemmelse, der bygger på direktivets artikel 3, stk. 2, 2. pind, indebærer, at loven ikke gælder for behandling af oplysninger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter.

    Sådanne aktiviteter vil bl.a. kunne bestå i privat korrespondance og føring af en adressefortegnelse over familie, venner, bekendte etc. Der henvises herved til betragtning 12 i direktivets præambel. Også det at føre en elektronisk dagbog samt forskellige behandlinger i forbindelse med sædvanlige fritidsaktiviteter vil falde ind under bestemmelsen. Det samme gælder, hvis en privatperson anvender sit tekstbehandlingssystem i forbindelse med, at den pågældende retter henvendelse til en offentlig myndighed om en sag, som vedrører den pågældende selv eller dennes familie. Det kan endvidere nævnes, at den omstændighed, at en privatperson f.eks. gennem Internettet giver et ubegrænset eller stort antal personer adgang til personoplysninger, ikke i sig selv vil være afgørende for, om behandlingen vil være omfattet af lovforslagets anvendelsesområde. F.eks. må det antages, at deltagelse i debatter på Internettet om sportsfolks præstationer m.v. vil kunne være udtryk for aktiviteter af »rent privat karakter«. Der henvises i øvrigt til bestemmelsen i lovforslagets § 2, stk. 2.

    Udtrykket »rent privat karakter« dækker således over forskellige typer af behandlinger, som privatpersoner foretager i forbindelse med udøvelse af personlige eller familiemæssige aktiviteter. Der skal være tale om sædvanlige og legitime private aktiviteter, således at bestemmelsen ikke anvendes til at omgå reglerne for lovlig behandling. De aktiviteter, der efter bestemmelsen undtages fra lovens område, kan være reguleret i anden lovgivning, herunder bl.a. i straffelovens kapitel 27.

    I de tilfælde, hvor behandling af oplysninger foretages som led i udøvelse af erhvervsmæssige aktiviteter, finder lovens regler anvendelse, jf. § 1, stk. 1 og 2. Eksempelvis falder behandling af oplysninger, som udføres for enkeltmandsejede virksomheder, ikke ind under den foreslåede undtagelsesbestemmelses område.

Til stk. 4

    Af bestemmelsens 1. pkt. følger, at reglerne i lovens kapitel 8-9 og §§ 35-37 og § 39 om den registreredes rettigheder ikke finder anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Bestemmelsen indebærer, at der ikke efter reglerne i kapitel 8 påhviler en dataansvarlig domstol en oplysningspligt over for den registrerede, når personoplysninger gøres til genstand for behandling i forbindelse med behandlingen af en straffesag. Heller ikke indsigtsreglerne i kapitel 9 finder efter bestemmelsen anvendelse i sådanne tilfælde. Endelig gælder reglerne i §§ 35-37 og § 39 om den registreredes rettigheder ikke i relation til behandlinger, der foretages for domstolene inden for det strafferetlige område.

    Efter bestemmelsens 2. pkt. gælder reglerne i lovens kapitel 8 og §§ 35-37 og § 39 heller ikke for behandling af oplysninger, som foretages for politi eller anklagemyndighed inden for det strafferetlige område. Der vil således ikke være pligt for politi og anklagemyndighed til at underrette registrerede personer, når oplysninger om dem gøres til genstand for behandling i forbindelse med behandlingen af en straffesag. Heller ikke reglerne i de nævnte bestemmelser i kapitel 10 om den registreredes øvrige rettigheder finder anvendelse i relation til behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område. Med udtrykket anklagemyndighed sigtes til politimestrene, statsadvokaterne, Rigsadvokaten og Justitsministeriet, jf. retsplejelovens kapitel 10.

    Det bemærkes, at direktivets artikel 3, stk. 2, 1. pind, 2. led, giver mulighed for at gøre undtagelse fra direktivets regulering med hensyn til statens aktiviteter på det strafferetlige område.

    Om baggrunden for de foreslåede undtagelsesbestemmelser henvises til lovforslagets almindelige bemærkninger pkt. 4.2.5.2. og 4.2.5.3. samt betænkningen, side 303 f.

Til stk. 5

    I bestemmelsen foreslås det, at loven ikke finder anvendelse på behandling af oplysninger, der foretages for Folketinget og institutioner med tilknytning dertil. Om baggrunden herfor henvises til pkt. 4.2.1.3.

    Det bemærkes, at behandlingsaktiviteter, som udføres af politiske partier repræsenteret i Folketinget, er omfattet af loven.

Til stk. 6-9

    Bestemmelserne indebærer, at den gældende ordning vedrørende mediernes behandling af oplysninger i det væsentlige opretholdes. Bestemmelserne svarer således - når der bortses fra enkelte mindre ændringer - til de gældende undtagelsesbestemmelser i lov om offentlige myndigheders registre § 1, stk. 7-9, og lov om private registre § 2, stk. 4-7. Ændringerne består i, at det for så vidt angår de uredigerede fuldtekstdatabaser, jf. stk. 7 og 8, og de manuelle arkiver, jf. stk. 9, fastsættes, at de almindelige regler om behandlingssikkerhed i lovens §§ 41-42 finder anvendelse. Tilsvarende foreskrives det, at erstatningsreglen i § 69 gælder for sådanne systemer m.v. ved overtrædelse af reglerne om behandlingssikkerhed.

    Herudover indebærer bestemmelserne i stk. 9 - i modsætning til lov om private registre § 2, stk. 7 - at manuelle arkiver over udklip fra offentliggjorte, trykte artikler kun undtages fra lovens område i det omfang, der er tale om behandling, som udelukkende sker i journalistisk øjemed. Det bemærkes, at den foreslåede bestemmelse - i modsætning til hvad der gælder efter registerlovgivningen - også gælder for manuelle arkiver over udklip fra offentliggjorte, trykte artikler, som føres for den offentlige forvaltning. Dette skyldes, at loven omfatter manuelle registre, jf. § 1, stk. 1, hvilket ikke er tilfældet efter lov om offentlige myndigheders registre.

    Til brug for afgørelsen af, om et forhold falder ind under loven, kan Datatilsynet indhente oplysninger fra det pågældende massemedie eller journalisten, jf. § 62, stk. 1.

Til stk. 10

    Af bestemmelsens 1. pkt. følger, at for behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed, gælder alene bestemmelserne i lovens §§ 41-42 (behandlingssikkerhed) og § 69 (erstatningsansvar ved overtrædelse af reglerne om behandlingssikkerhed).

    Bestemmelsen tager sigte på den elektroniske behandling af personoplysninger, som udelukkende foretages som led i journalistisk virksomhed i forbindelse med udarbejdelse af artikler m.v. under anvendelse af almindelige tekstbehandlingssystemer.

    Det bemærkes, at databaser m.v. alene vil kunne undtages fra lovens område i det omfang, det følger af undtagelsesbestemmelserne i stk. 6-9.

    Af bestemmelsens 2. pkt. følger, at lovens regler ligeledes kun i begrænset omfang finder anvendelse på behandling, som udelukkende sker med henblik på kunstnerisk eller litterær virksomhed. Med udtrykket litterær virksomhed sigtes til »skønlitterær virksomhed«, f.eks. udarbejdelse af nøgleromaner, se hertil betænkningen, side 207. For sådan behandling gælder således kun bestemmelserne i lovens §§ 41-42 og 69.

    De nævnte regler gælder alene for behandling af oplysninger, som udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed. Hvis behandlingen ikke kan anses for udelukkende at ske til de nævnte formål, finder lovens regler fuldt ud anvendelse. Datatilsynet fører tilsyn med, om behandlingen udelukkende sker i de nævnte øjemed. Til brug for afgørelsen heraf kan Datatilsynet indhente oplysninger hos den pågældende, jf. herved § 62, stk. 1.

    Det er ikke tilstrækkeligt, at den dataansvarlige selv er af den opfattelse, at der er tale om behandling, som finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed. Der påhviler således den pågældende en vis forpligtelse til at sandsynliggøre, at vedkommendes aktiviteter falder ind under undtagelsesreglen. Datatilsynet - og i sidste ende domstolene - vil kunne gribe ind over for misbrug af reglen.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.10.3. og betænkningen, side 206-208.

Til stk. 11

    Bestemmelsen indebærer, at den gældende ordning vedrørende efterretningstjenesterne opretholdes, jf. lov om offentlige myndigheders registre § 31. Af bestemmelsen følger således, at lovens regler ikke gælder for behandlinger, som udføres for politiets og forsvarets efterretningstjenester.

    Det bemærkes, at videregivelse af personoplysninger til en af efterretningstjenesterne vil være omfattet af loven, uanset der i sådanne tilfælde tillige er tale om en behandling (indsamling), som foretages for den pågældende tjeneste.

    Også for så vidt angår efterretningstjenesterne gælder det, at Datatilsynet kan indhente de fornødne oplysninger til afgørelse af, om et forhold falder ind under loven, jf. § 62, stk. 1. Dette vil i praksis ske gennem Justitsministeriet og Forsvarsministeriet.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.1.2. og 4.2.1.3.

Til kapitel 2

Definitioner

    Kapitlet indeholder definitioner af en række centrale databeskyttelsesretlige begreber. Med definitionerne sikres det, at der sker en korrekt implementering af bestemmelserne i direktivets artikel 2, litra a-h. Samtidig indebærer de foreslåede bestemmelser, at der i videre udstrækning end efter den gældende registerlovgivning gives legale definitioner af centrale databeskyttelsesretlige begreber.

Til § 3

Til nr. 1

    I den gældende registerlovgivning er indeholdt en legal definition af begrebet personoplysninger, jf. lov om offentlige myndigheders registre § 1, stk. 3, og lov om private registre § 1, stk. 2.

    Også i direktivets artikel 2, litra a, er der medtaget en definition af begrebet personoplysninger. Som anført i betænkningen, side 211, må denne definition antages at svare til den gældende legale definition af begrebet personoplysninger. Med den foreslåede bestemmelse tilsigtes derfor ikke væsentlige ændringer i den gældende retstilstand. Det bemærkes dog, at elektronisk behandling af oplysninger om bestemte personer vil være omfattet af lovgivningen, uanset personerne kun er bipersoner i behandlingen. Efter den gældende retstilstand anses oplysninger om bipersoner i edb-registre m.v. i almindelighed ikke for omfattet af lovgivningen.

    I bestemmelsen defineres personoplysninger som enhver information om en identificeret eller identificerbar fysisk person. Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Der henvises til direktivets artikel 2, litra a.

    Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer. Omfattet vil ligeledes bl.a. være oplysninger, som foreligger i form af billede, personens stemme, fingeraftryk eller genetiske kendetegn. Det er uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Det er med andre ord tilstrækkeligt, at der i forbindelse med behandlingen er etableret en ordning med et løbenummer eller lignende, f.eks. medlemsnummer eller journalnummer. Er f.eks. navn eller adresse erstattet af en kode, der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadigvæk være tale om en personoplysning. Krypterede oplysninger er dermed også omfattet, sålænge nogen kan gøre oplysningerne læsbare og dermed identificere de personer, som oplysningerne vedrører. Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af definitionen. Ved afgørelsen af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning. Der henvises herved til betragtning 26 i direktivets præambel.

    Med hensyn til spørgsmålet om, hvorvidt oplysninger om afdøde personer skal anses for personoplysninger i bestemmelsens forstand, henvises til pkt. 4.2.2.3. i lovforslagets almindelige bemærkninger.

    Der henvises i øvrigt til betænkningen, side 210- 211.

Til nr. 2

    I bestemmelsen defineres begrebet behandling. Bestemmelsen er udtryk for en nyskabelse i forhold til den gældende registerlovgivning.

    Omfattet af begrebet behandling er ikke blot - som efter den gældende lovgivning - registrering, opbevaring og videregivelse af oplysninger, men derimod enhver form for håndtering af oplysninger. Begrebet dækker således bl.a. over indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden overladelse, sammenstilling eller samkøring samt blokering, sletning eller tilintetgørelse. Finder blot en af de nævnte former for håndtering af oplysninger sted, vil der være tale om behandling i bestemmelsens forstand.

Til nr. 3

    I den gældende registerlovgivning er indeholdt en legal definition af begrebet edb-registre, jf. lov om offentlige myndigheders registre § 1, stk. 2. Lov om private registre bygger også på et registerbegreb, jf. lovens § 1, stk. 1.

    Også i direktivets artikel 2, stk. 1, litra c, er indeholdt en definition af begrebet register. Under hensyn hertil foreslås det, at der i loven medtages en bestemmelse om, at der ved et register skal forstås enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.

    Omfattet af bestemmelsens registerbegreb er manuelle registre, såsom fortegnelser, kartotekskasser, journalkortsystemer og andre samlinger af manuelt materiale, som opbevares struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til de indeholdte personoplysninger. Derimod er manuelle akter, som indgår i den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller samlinger af sådanne mapper, ikke omfattet af registerbegrebet. Den nærmere afgrænsning af registerbegrebet må i øvrigt finde sted gennem vedkommende tilsynsmyndigheds praksis. En koordinering mellem tilsynsmyndighederne vil være naturlig på dette punkt, jf. § 66 og § 68, stk. 1, med henvisningen til § 66.

    Der henvises i øvrigt til betænkningen, side 213- 215.

Til nr. 4

    Bestemmelsen fastsætter, at der ved begrebet den dataansvarlige skal forstås den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Begrebet den dataansvarlige er ikke defineret i gældende dansk registerlovgivning. Definitionen heraf i bestemmelsen, der bygger på direktivets artikel 2, litra d, må dog antages at svare til, hvad der i dag antages at gælde på ulovbestemt grundlag. Bestemmelsen kan således ikke antages at medføre nogen ændringer i gældende ret. Registertilsynets praksis vedrørende udpegningen af den dataansvarlige (registeransvarlige) vil dermed fortsat kunne tillægges betydning.

Til nr. 5

    Bestemmelsen fastsætter, at der ved begrebet databehandleren skal forstås, den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. I den gældende registerlovgivning findes ikke nogen legal definition af dette begreb. Bestemmelsens definition af begrebet databehandleren, der bygger på direktivets artikel 2, litra e, må dog antages at svare til, hvad der efter den gældende registerlovgivning anses for at være en databehandler. Der henvises herved til § 20, stk. 1, i lov om private registre, der fastsætter, hvad der skal forstås ved et edb-servicebureau (databehandler).

Til nr. 6

    Bestemmelsen fastsætter, at der ved begrebet tredjemand skal forstås, enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger. Bestemmelsen er udtryk for en nyskabelse i forhold til den gældende registerlovgivning. Definitionen af begrebet tredjemand har bl.a. betydning med hensyn til spørgsmålet om den dataansvarliges adgang til at behandle, herunder videregive, oplysninger, jf. § 6, nr. 6 og 7, og om den dataansvarliges pligt til at underrette tredjemand om berigtigelse, sletning eller blokering af videregivne oplysninger, jf. § 37, stk. 2.

Til nr. 7

    Bestemmelsen fastsætter, hvad der skal forstås ved begrebet modtager. Bestemmelsen er, ligesom bestemmelsen i nr. 6, udtryk for en nyskabelse i forhold til den gældende registerlovgivning.

    I bestemmelsens 1. pkt. er fastsat, at der ved en modtager skal forstås den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand. Begrebet modtager afviger herved fra begrebet tredjemand, jf. nr. 6. Definitionen har betydning i relation til reglerne om henholdsvis den dataansvarliges oplysningspligt og den registreredes indsigtsret, jf. § 28, stk. 1, nr. 3, litra a, og § 29, stk. 1, nr. 3, litra b, samt § 31, stk. 1, nr. 3. Endvidere er begrebet af betydning i relation til reglerne om anmeldelse af behandlinger, jf. § 43, stk. 2, nr. 5, § 48, stk. 2, samt § 52.

    Offentlige myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, er ikke omfattet af begrebet modtager, jf. bestemmelsens 2. pkt.

Til nr. 8

    En legal definition af begrebet samtykke er ikke indeholdt i den gældende registerlovgivning.

    I direktivets artikel 2, litra h, defineres det derimod, hvad der skal forstås ved begrebet samtykke. Under hensyn hertil fastsættes det i bestemmelsen, at der ved et samtykke skal forstås enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling

    Efter bestemmelsen skal et samtykke meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den registrerede er meddelt fuldmagt hertil.

    Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt. Dette vil navnlig gælde, hvis der gives samtykke til behandling af oplysninger, som er af følsom karakter, eller hvis samtykket i øvrigt har stor betydning for en eller flere af parterne. Et samtykke skal endvidere være frivilligt. Samtykket må således ikke være afgivet under tvang. Dette gælder, uanset om det er den dataansvarlige selv eller andre, der øver pression over for den registrerede.

    Herudover skal der være tale om et specifikt samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.

    Endelig skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.

    Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft, jf. nærmere bemærkningerne til § 38.

    Der henvises i øvrigt til betænkningen, side 215 f.

Til nr. 9

    I bestemmelsen defineres det, hvad der skal forstås ved begrebet tredjeland.

    Ved et tredjeland forstås en stat, som ikke indgår i Det Europæiske Fællesskab. Dette gælder dog ikke, hvis den pågældende stat har gennemført en aftale, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til det vedtagne direktiv. Det bemærkes herved, at den særlige EØS-komite har vedtaget, at direktivet også skal gælde for EØS-landene. Når de enkelte EØS-landes lovgivning herefter kommer til at svare til reglerne i direktivet, vil EØS-landene ikke længere have karakter af tredjelande.

    Definitionen af et tredjeland har betydning med hensyn til reglerne om lovens geografiske område, jf. § 4, og reglerne om overførsel af oplysninger til tredjelande, jf. § 27.

Til kapitel 3

Lovens geografiske område

    I kapitlet fastsættes regler om lovens geografiske gyldighed. Bestemmelserne, der er udtryk for en nyskabelse i forhold til den gældende registerlovgivning, bygger på direktivets artikel 4, hvori der er fastsat regler om, hvilken medlemsstats nationale lovgivning der gælder for behandlinger, som falder ind under direktivets anvendelsesområde. Bestemmelsen i stk. 6 tager dog sigte på at regulere behandlinger, der ikke er omfattet af direktivet.

    De foreslåede bestemmelser berører ikke spørgsmålet om strafferetlig jurisdiktionskompetence. Dette spørgsmål vil således fortsat skulle afgøres efter reglerne i straffelovens kapitel 2.

Til § 4

Til stk. 1

    Bestemmelsen indeholder hovedreglen for lovens geografiske gyldighed. Efter bestemmelsen gælder lovens regler for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark. Bestemmelsen omfatter således kun dataansvarlige, som er etableret på dansk område. Færøerne og Grønland anses ikke for dansk område efter bestemmelsen, men for et tredjeland, jf. § 3, nr. 9. Der henvises nærmere til betænkningen, side 224.

    Uden for bestemmelsen falder de tilfælde, hvor en dataansvarlig, som er etableret uden for dansk område, f.eks. i en anden medlemsstat, udøver aktiviteter på dansk område. Oplysninger, der opbevares på dansk område for en dataansvarlig, som er etableret i en anden medlemsstat, er således som udgangspunkt ikke omfattet af lovens regler. Dog gælder lovens sikkerhedsregler for behandlinger, som foretages af databehandlere i Danmark, uanset behandlingen i øvrigt er undergivet en anden medlemsstats lovgivning, jf. § 41, stk. 3. Endvidere gælder lovens regler om Datatilsynets jurisdiktionskompetence i relation til sådanne behandlinger, jf. § 64, stk. 1. Tilsynets kompetence udøves i så fald på baggrund af fremmed ret.

    I det omfang, en dataansvarlig er etableret på dansk område, følger det af bestemmelsen, at dennes behandlinger vil være omfattet af lovens regulering, uanset om de aktiviteter, som behandlingerne knytter sig til, udøves på dansk område eller ej. Dette gælder dog kun, hvis der er tale om aktiviteter, som den dataansvarlige udøver inden for Fællesskabets område. En dataansvarlig, der er etableret i Danmark, og som foretager behandling af oplysninger i et tredjeland, uden at behandlingen har nogen tilknytning til Det Europæiske Fællesskabs område, vil således ikke være omfattet af lovens regulering. Derimod vil den situation, at en dataansvarlig, som er etableret i Danmark, overlader det til en databehandler i et tredjeland at foretage selve behandlingen af oplysninger, ikke falde uden for lovens gyldighedsområde. En betingelse er dog, at databehandlingen har tilknytning til aktiviteter på Det Europæiske Fællesskabs område.

    Er en dataansvarlig på samme tid etableret i Danmark og i en anden medlemsstat, finder lovens regler begrænset anvendelse. Hvis et selskab, som er etableret i en anden medlemsstat, etablerer filial i Danmark, vil lovens regler kun finde anvendelse på denne filials aktiviteter inden for Fællesskabets område. Den dataansvarlige skal i givet fald sikre, at den pågældende filial opfylder lovens regler.

    Etablering i bestemmelsens forstand foreligger, når der er tale om faktisk udøvelse af aktiviteter gennem en mere permanent struktur. Den pågældende strukturs retlige form er uden betydning. Omfattet vil således kunne være aktiviteter, der udøves af såvel filialer som datterselskaber med status som juridisk person.

    Der henvises i øvrigt til betænkningen, side 219- 222.

Til stk. 2

    Af bestemmelsen følger, at danske diplomatiske repræsentationer er omfattet af lovens regulering. Om baggrunden herfor henvises til betænkningen, side 222.

Til stk. 3

    Bestemmelsen udvider det geografiske område, som lovens regler skal gælde for.

    Af bestemmelsen i nr. 1, 1. led, følger, at loven gælder for en dataansvarlig, som er etableret i et tredjeland, hvis behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark. Dette vil bl.a. være tilfældet, hvis behandlingen udføres af en databehandler ved hjælp af udstyr, der befinder sig her i landet. Det er i den forbindelse uden betydning, om der benyttes hjælpemidler, der er edb-baserede eller ej. Omfattet vil således bl.a. være behandling ved hjælp af terminaler, når blot dette sker på dansk område. Uden for bestemmelsen falder de tilfælde, hvor hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område, jf. 2. led. Det vil bl.a. være tilfældet, hvor der alene befinder sig en teknisk anordning (hjælpemiddel) på dansk område, hvorigennem forsendelse til et tredjeland finder sted. Hvis behandlingen i Danmark sker med henblik på forsendelse til såvel et tredjeland som til en medlemsstat, falder den behandling, som sker med henblik på forsendelse til medlemsstaten, ind under lovens område.

    Efter bestemmelsen i nr. 2. omfatter loven endvidere dataansvarlige, som er etableret i et tredjeland, hvis indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland. Bestemmelsen tager bl.a. sigte på indsamling af oplysninger i Danmark, f.eks. i form af opkøb af oplysninger fra offentligt tilgængelige registre, fra private og fra Statstidende, med henblik på registrering til brug for kreditvurdering. Tilsvarende gælder med hensyn til indsamling, der foregår ved, at de registrerede eller andre med posten sender oplysninger direkte til den dataansvarlige i et tredjeland. Der henvises til lovforslagets almindelige bemærkninger pkt. 4.2.3.3.

Til stk. 4 og 5

    Bestemmelserne indeholder regler af mere teknisk karakter.

    I stk. 4 fastsættes det, at en dataansvarlig, som er omfattet af bestemmelsen i stk. 3, nr. 1, skal udpege en repræsentant. Denne repræsentant skal være etableret i Danmark. Den udpegede repræsentant har samme rettigheder og forpligtelser som den dataansvarlige. Dette indebærer bl.a., at den udpegede repræsentant skal foretage anmeldelse til Datatilsynet efter reglerne i kapitel 12 og 13, ligesom den registrerede efter omstændighederne vil skulle have oplysning om den dataansvarliges repræsentants identitet, jf. §§ 28 og 29.

    Det forhold, at der udpeges en repræsentant for den dataansvarlige, berører efter bestemmelsen ikke den registreredes mulighed for at foretage retslige skridt mod den dataansvarlige.

    Af stk. 5 følger, at det påhviler den dataansvarlige skriftligt at underrette Datatilsynet om, hvem der er udpeget som repræsentant, jf. stk. 4.

Til stk. 6

    Af bestemmelsen følger, at loven gælder, hvis der for en dataansvarlig, der er etableret i et andet medlemsland, behandles oplysninger i Danmark, og behandlingen ikke er omfattet af direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Det samme gælder i forhold til EØS-lande, der har gennemført direktivet i overensstemmelse med EØS-komiteens afgørelse.

    Dette vil bl.a. kunne være tilfældet, hvis en dataansvarlig i et andet medlemsland indsamler oplysninger i Danmark inden for det strafferetlige område, idet en sådan behandling falder uden for anvendelsesområdet for direktivet om behandling af personoplysninger (direktivets artikel 3, stk. 2, 1. pind).

Til kapitel 4

Behandling af oplysninger

    I kapitlet fastsættes regler om, i hvilket omfang behandling af oplysninger må finde sted. Reglerne skal afløse de gældende regler i registerlovgivningen om registrering, opbevaring, samkøring og videregivelse af oplysninger, jf. bestemmelserne i lov om offentlige myndigheders registre kapitel 3, 5, 5 a og 6 og lov om private registre kapitel 2, 2 b og 4.

    De foreslåede bestemmelser, der har til formål at yde den registrerede en beskyttelse i vid forstand, skal sikre, at der sker en korrekt implementering af direktivets artikel 5-8. Dette er baggrunden for, at ordlyden af bestemmelserne i vid udstrækning ligger tæt op ad direktivteksten. Der henvises i den forbindelse til lovforslagets almindelige bemærkninger pkt. 4.2.4.2. (pkt. A) og 4.2.4.3.

    I § 5 er fastsat en række principper for den dataansvarliges behandling af oplysninger. Disse principper skal ses i sammenhæng med bestemmelserne i §§ 6-13, hvori de nærmere betingelser for behandling af oplysninger er fastsat. Lovligheden af behandling af oplysninger skal som udgangspunkt bedømmes efter reglerne i § 6. Dette gælder dog ikke, hvis der er tale om behandling af særlige oplysningstyper, jf. §§ 7 og 8, eller om særlige former for behandling af oplysninger, jf. §§ 9-13. I § 14 er der endelig fastsat regler om arkivering af oplysninger, der er omfattet af loven.

    De regler, som er indeholdt i kapitlet, finder som udgangspunkt anvendelse på al behandling af oplysninger. I det omfang, der er tale om særlige former for behandling, gælder dog reglerne i kapitel 5-7. Kun i de tilfælde, hvor der opstår spørgsmål, som ikke er reguleret i kapitel 5-7, vil de almindelige behandlingsregler således finde anvendelse på de nævnte særlige former for behandling af oplysninger. Ved overførsel af oplysninger til tredjelande, jf. kapitel 7, vil de almindelige betingelser dog skulle være opfyldt, jf. § 27, stk. 5.

Til § 5

    I bestemmelserne fastsættes en række grundlæggende principper for den dataansvarliges behandling, herunder indsamling, ajourføring, opbevaring m.v., af oplysninger.

Til stk. 1

    Bestemmelsen fastsætter, at den dataansvarlige skal behandle oplysninger i overensstemmelse med god databehandlingsskik. Heri ligger, at behandlingen skal være rimelig og lovlig. En rimelig behandling af oplysninger forudsætter bl.a., at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. §§ 28 og 29. Der henvises herved til betragtning 38 i direktivets præambel. I øvrigt må det overlades til tilsynsmyndigheden at udfylde den retlige standard »god databehandlingsskik«.

Til stk. 2

    I bestemmelsens 1. pkt. fastsættes det, at det påhviler den dataansvarlige at sikre, at indsamling af oplysninger sker til udtrykkeligt angivne og saglige formål, og at senere behandling ikke er uforenelig med disse formål. Bestemmelsen fastslår herved princippet om formålsbestemthed (finalité-princippet).

    Kravet om, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, gælder, uanset om indsamlingen sker hos den registrerede eller ej. Der påhviler således den dataansvarlige en ubetinget pligt til i forbindelse med indsamling af oplysninger at fastlægge, til hvilke formål indsamlingen finder sted. Indsamlingen af oplysninger kan ske til et eller flere formål.

    I kravet om udtrykkelighed ligger, at den dataansvarlige i forbindelse med indsamlingen skal angive et formål, som er tilstrækkelig veldefineret og velafgrænset til at skabe åbenhed og klarhed omkring behandlingen. Formålet med behandlingen af oplysningerne skal således defineres med en vis præcision. En generel eller vag definition eller beskrivelse af formålet med behandling af oplysninger, f.eks. »til administrative formål« eller »til brug for kommercielle formål«, vil ikke være tilstrækkelig til at opfylde kravet om udtrykkelighed. Derimod må en mere præcis angivelse som f.eks. »til brug for udbud af finansielle ydelser« anses for at være tilstrækkelig.

    Indsamling af oplysninger skal endvidere ske til et eller flere saglige formål. Dette vil bl.a. være tilfældet, hvor indsamlingen sker til administrative formål, som det ligger inden for den dataansvarlige myndigheds område at varetage. Tilsvarende gælder for så vidt angår privates indsamling af oplysninger, der ligger inden for den virksomhed, som de udøver. Der henvises i den forbindelse til reglerne i lovens afsnit 2, herunder navnlig reglerne i §§ 6-13, hvor det nærmere er fastsat, hvornår behandling af oplysninger kan finde sted. Efter en række af disse bestemmelser kan der ske behandling, herunder registrering og videregivelse, af oplysninger, hvis den registrerede meddeler sit samtykke hertil. Et samtykke vil imidlertid ikke være tilstrækkeligt til at behandling kan finde sted. Herudover kræves, at behandlingen er sagligt begrundet.

    Efter bestemmelsen må senere behandling af oplysninger ikke være uforenelig med de formål, hvortil oplysningerne er indsamlet. Bestemmelsen indebærer, at de oplysninger, som den dataansvarlige måtte indsamle, ikke frit vil kunne genbruges, videregives m.v. Der vil således heller ikke frit kunne videregives oplysninger inden for f.eks. den offentlige forvaltning. I det omfang, genbrug, udveksling m.v. ikke er uforenelig med det eller de formål, hvortil oplysningerne er indsamlet af den dataansvarlige, vil der dog være mulighed herfor. I hvilket omfang dette er tilfældet, vil bero på en konkret vurdering i den enkelte situation. Det bemærkes, at behandling til andre formål end de formål, hvortil oplysningerne oprindelig er indsamlet, naturligvis skal ske i overensstemmelse med de materielle regler i §§ 6-13 og i kapitel 5-7. Videregivelse af indsamlede oplysninger til tredjemand skal således være lovlig efter de materielle regler i §§ 6-13, og videregivelsen må ikke være uforenelig med de formål, som oplysningerne er indsamlet til. Det vil derfor ikke være muligt at omgå reglerne ved, at den dataansvarlige videregiver oplysningerne til en tredjemand, som ved sin indsamling af oplysningerne fastsætter formål, som er uforenelige med de formål, hvortil oplysningerne oprindeligt er indsamlet af den dataansvarlige. Derimod er bestemmelsen ikke til hinder for, at den registrerede meddeler sit samtykke til, at de indsamlede oplysninger behandles til formål, der er uforenelige med de formål, hvortil oplysningerne oprindelig er indsamlet. En sådan situation er at sidestille med en fornyet indsamling af de pågældende oplysninger.

    Det skal understreges, at der gennem lovgivningen kan ske en nærmere specificering af, til hvilke formål behandling af oplysninger kan ske. For nogle behandlinger er der i lovgivningen formuleret et bredt formål, nemlig at stille oplysninger til rådighed for mange forskellige myndigheder og/eller private. Det gælder f.eks. for Det Centrale Erhvervsregister.

    Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, er altid forenelig med de formål, hvortil oplysningerne er indsamlet, jf. bestemmelsens 2. pkt. Herved sikres det, at oplysninger, der ikke oprindelig er indsamlet med disse formål for øje, under alle omstændigheder vil kunne anvendes til senere behandling i historisk, statistisk eller videnskabeligt øjemed. En forudsætning herfor er dog, at den senere behandling alene sker til disse formål. Behandling, der både sker til de nævnte formål samt til andre formål, såsom administrative eller kommercielle formål, er således ikke omfattet af undtagelsesbestemmelsen i 2. pkt.

Til stk. 3

    Af bestemmelsen følger, at de oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og til de formål, hvortil oplysningerne senere behandles. Med udtrykkene relevante og tilstrækkelige sigtes til, at oplysningernes art skal svare til det formål, der tilsigtes med behandlingen. Bestemmelsen fastsætter endvidere, at den dataansvarliges behandling af oplysninger er undergivet et proportionalitetsprincip. Behandling af oplysninger må således ikke gå videre end, hvad der kræves til opfyldelse af de formål, som den dataansvarlige er berettiget til at forfølge, jf. herved også bestemmelsen i stk. 2.

Til stk. 4

    I den gældende registerlovgivning er fastsat regler om den dataansvarliges kontrol med oplysningers rigtighed m.v., jf. herved lov om offentlige myndigheders registre § 9, stk. 3, og § 11 samt lov om private registre §§ 5 og 6.

    I lyset af direktivets artikel 6, stk. 1, litra d, om datakvalitet fastsættes det i bestemmelsen, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Det fastsættes endvidere, at det påhviler den dataansvarlige at foretage fornøden kontrol for at sikre, at der ikke registreres urigtige eller vildledende oplysninger, og at der snarest muligt foretages sletning eller berigtigelse, hvis det viser sig, at der er behandlet urigtige eller vildledende oplysninger.

    Med kravet om ajourføring sikres det, at der påhviler den dataansvarlige en forpligtelse til om nødvendigt at foretage ajourføring af oplysninger, der viser sig forældede. I nogle situationer vil den dataansvarlige dog kunne afvente den førstkommende normale ajourføring, førend ajourføring finder sted. Afgørende for, hvor hurtigt ajourføring skal finde sted, er karakteren af de oplysninger, som er undergivet behandling. Er der eksempelvis tale om oplysninger, der vil kunne påføre den registrerede eller andre uoprettelig skade, bør ajourføring finde sted umiddelbart efter, at behovet herfor er konstateret.

    Omfanget af den kontrol, som det efter bestemmelsen påhviler den dataansvarlige at foretage, vil afhænge af oplysningernes karakter, deres anvendelse, indsamlingens pålidelighed og af, om oplysningerne er af betydning for en eller flere myndigheder m.v. Det bemærkes, at den registrerede selv vil kunne fremsætte anmodning om, at den dataansvarlige retter, sletter eller blokerer oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, jf. § 37.

Til stk. 5

    Efter bestemmelsen må indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Oplysninger må således ikke opbevares i identificerbar form i længere tid end, hvad der er nødvendigt af hensyn til de formål, hvortil oplysningerne indsamles, eller i forbindelse med hvilke oplysningerne senere behandles, jf. stk. 2 (kravet om formålsbestemthed). For så vidt angår spørgsmålet om, hvornår der er tale om identificerbare oplysninger, henvises til bemærkningerne til § 3, nr. 1.

    Det er ikke muligt generelt at beskrive, for hvilke tidsrum opbevaring af identificerbare oplysninger vil kunne ske. Dette må afgøres i den enkelte situation. Det forudsættes dog, at der gennem vedkommende tilsynsmyndigheds virksomhed vil blive fastlagt nogle generelle kriterier for, hvor længe dataansvarlige i almindelighed må opbevare identificerbare oplysninger. Det bemærkes i den forbindelse, at det påhviler den dataansvarlige i forbindelse med anmeldelse af behandlinger til vedkommende tilsynsmyndighed at give oplysning om tidspunktet for sletning, jf. § 43, stk. 2, nr. 9, § 48, stk. 2, samt § 52.

    Specielt for så vidt angår spørgsmålet om arkivmæssig opbevaring henvises til reglerne i arkivlovgivningen herom. I det omfang, opbevaringspligt følger af disse regler, vil opbevaring være berettiget efter den foreslåede bestemmelse.

Til § 6

    I bestemmelsen fastsættes de generelle betingelser for, hvornår behandling af oplysninger må finde sted. Bestemmelsens stk. 1 gælder som udgangspunkt for enhver behandling af oplysninger, som er omfattet af lovforslaget. Lovligheden af visse særlige former for behandlinger skal dog afgøres efter §§ 7-13.

Til stk. 1

    Af bestemmelsen følger, at behandling af oplysninger kun må finde sted, hvis en af de i nr. 1-7 angivne betingelser er opfyldt. Fælles for disse regler er, når bortses fra samtykkereglen i nr. 1, at behandling kun kan ske, hvis den er nødvendig af hensyn til en række nærmere angivne interesser. Det vil bero på den konkrete situation, om en given behandling af oplysninger må antages at være nødvendig i bestemmelsens forstand. Med kravet om nødvendighed er der således overladt den dataansvarlige et vist skøn. Dette skøn vil altid kunne efterprøves af vedkommende tilsynsmyndighed, jf. § 55, stk. 1, og § 67. En nærmere udfyldning af bestemmelsens nødvendighedskriterium må derfor ske gennem vedkommende tilsynsmyndigheds virksomhed. I den forbindelse forudsættes det, at der sker en vis koordinering tilsynsmyndighederne imellem vedrørende de i bestemmelsen indeholdte standarder, jf. § 66 og § 68, stk. 1.

    Vurderingen af behandlingens nødvendighed afhænger af, hvilken form for behandling der er tale om. Det vil således skulle vurderes separat, om det er nødvendigt, at oplysninger indsamles, registreres, videregives, samkøres m.v. Der vil endvidere skulle henses til, hvilken type oplysninger der er tale om. I den forbindelse forudsættes de almindelige behandlingsregler i lovforslagets § 6 i videst muligt omfang administreret på den måde, at der ikke - uden samtykke - registreres og videregives personoplysninger i videre udstrækning end efter den gældende registerlovgivning.

    Med lovforslaget lægges der således ikke op til ændringer i den gældende retstilstand om, i hvilke tilfælde der må foretages samkøring i den offentlige forvaltning. Det forudsættes endvidere, at der stilles strenge krav til private dataansvarliges samkøring af oplysninger.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.4.2. (pkt. A) og 4.2.4.3.

    Efter bestemmelsen i nr. 1 må behandling af oplysninger finde sted, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Samtykkekravet skal forstås i overensstemmelse med den legale definition i § 3, nr. 8. Den dataansvarlige vil ikke kunne opnå stiltiende eller indirekte tilslutning til behandling af oplysninger, jf. herved også kravet om, at et samtykke skal være udtrykkeligt. Et egentligt krav om skriftlighed følger ikke af bestemmelsen. Der bør dog i videst muligt omfang søges indhentet et skriftligt samtykke fra den registrerede, idet der herved opnås klarhed omkring samtykkets rækkevidde. Det bemærkes, at det ved behandling af oplysninger på baggrund af et samtykke fra en registreret person er en betingelse, at også de grundlæggende principper i § 5 er opfyldt. Behandlingen af oplysninger vil således bl.a. skulle være i overensstemmelse med god databehandlingsskik, jf. § 5, stk. 1, ligesom behandlingen også skal være sagligt begrundet og relevant, jf. § 5, stk. 2 og 3. Det forudsættes, at tilsynsmyndigheden ved vurderingen af, om dette er tilfældet, dels lægger vægt på, hvilken form for behandling der er tale om, dels hvilke typer af oplysninger behandlingen omfatter.

    Behandling af oplysninger må endvidere finde sted, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller hvis behandlingen er nødvendig af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en aftale, jf. nr. 2. Af bestemmelsen følger, at der i forbindelse med opfyldelsen af en indgået aftale med den registrerede kan ske den nødvendige behandling af bl.a. ordrer, fakturaer og lignende. Det er en betingelse, at den registrerede er aftalepart. En aftale mellem den dataansvarlige og eksempelvis den registreredes arbejdsgiver kan således ikke begrunde behandling af oplysninger om den registrerede. Omfattet af bestemmelsen er endvidere den situation, at behandling af oplysninger er nødvendig af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en aftale. Bestemmelsen sikrer herved, at der også forud for parternes etablering af en aftale kan ske behandling af oplysninger.

    Behandling kan ligeledes ske, hvis det er nødvendigt for, at den dataansvarlige kan overholde en retlig forpligtelse, der påhviler denne, jf. nr. 3. Bestemmelsen bygger på direktivets artikel 7, litra c, hvori udtrykket retlig forpligtelse er anvendt. Udtrykket retlig forpligtelse omfatter forpligtelser, der følger af lovgivningen eller af administrative forskrifter, der er fastsat i medfør heraf. Omfattet af udtrykket er endvidere forpligtelser, der følger af internationale regler, herunder fællesskabsretlige regler. Ligeledes er forpligtelser, der følger af en domstolsafgørelse eller af en afgørelse, der er truffet af en administrativ myndighed, omfattet. Derimod er aftaleretlige forpligtelser, som måtte påhvile den dataansvarlige, ikke omfattet af bestemmelsen.

    Efter bestemmelsen i nr. 4 må behandling endvidere ske, hvis den er nødvendig for at beskytte den registreredes vitale interesser. Dette vil bl.a. kunne være tilfældet, hvor den registrerede som følge af sygdom, bortrejse m.v. ikke er i stand til at meddele samtykke. Tilsvarende gælder, hvor behandling af oplysninger om den registrerede er af en sådan hastende karakter, at den dataansvarlige ikke har kunnet nå at indhente samtykke fra den registrerede. Af udtrykket vitale interesser følger, at behandlingen skal vedrøre interesser, som er af fundamental betydning for den registrerede. Dette vil bl.a. være tilfældet, hvis den registrerede på grund af sygdom eller bortrejse er ude af stand til at meddele samtykke til en behandling, som vil sikre den registrerede mod at lide et væsentligt økonomisk tab eller i øvrigt lide væsentlig skade.

    Behandling kan yderligere ske, hvis det er nødvendigt af hensyn til udførelsen af en opgave i samfundets interesse, jf. nr. 5. Af udtrykket opgave i samfundets interesse følger, at der skal være tale om opgaver af almen interesse, dvs. opgaver, som er af betydning for en bredere kreds af personer. Dette vil bl.a. være tilfældet for så vidt angår behandling i statistisk, historisk eller videnskabeligt øjemed. Det samme gælder med hensyn til den behandling, som sker i retsinformationssystemer med henblik på at informere offentligheden om lovgivning, retspraksis m.v. Også andre former for behandling vil kunne anses for at være af almen interesse. Dette gælder f.eks. større private foreningers og sammenslutningers registreringer af oplysninger, som er af interesse for en bredere kreds af personer. Det forhold, at behandling sker i et kommercielt øjemed, udelukker ikke, at behandlingen anses for at ske til varetagelse af almene interesser.

    Behandling er tillige tilladt, hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, jf. nr. 6. Bestemmelsen retter sig primært mod behandling af oplysninger for offentlige myndigheder, der sker som led i myndighedsudøvelse. Kerneområdet for offentlig myndighedsudøvelse er udstedelse af forvaltningsakter, såsom meddelelse af afgørelser om sociale ydelser eller afgørelser om skatteansættelse. Også udførelse af opgaver, som sædvanligvis karakteriseres som faktisk forvaltningsvirksomhed, vil efter omstændighederne være omfattet af bestemmelsen. Med hensyn til domstolenes virksomhed omfatter udtrykket offentlig myndighedsudøvelse i hvert fald de judicielle funktioner. I det omfang, offentlig myndighedsudøvelse påhviler en (privat) tredjemand, til hvem oplysninger om den registrerede er videregivet, følger det af bestemmelsen, at denne tredjemand kan foretage den nødvendige behandling af de modtagne oplysninger. Heri ligger, at f.eks. en privat tredjemand, der på baggrund af delegation eller efter aftale med en forvaltningsmyndighed varetager en opgave, der falder ind under udtrykket »offentlig myndighedsudøvelse«, vil kunne foretage den nødvendige indsamling m.v. af oplysninger, herunder fra den registrerede, til brug for løsningen af denne opgave.

    Endelig kan behandling finde sted, hvis den er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. nr. 7. En betingelse for at kunne anvende bestemmelsen er, at den dataansvarlige har foretaget en vurdering af, hvorvidt hensynet til den registreredes interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen, og at denne vurdering falder ud til fordel for de interesser, der ønskes forfulgt. Det bemærkes, at den dataansvarlige eller den tredjemand, til hvem oplysninger videregives, også vil kunne forfølge andre end deres egne interesser. En forudsætning herfor er dog, at der er tale om andres berettigede interesser.

Til stk. 2-4

    I dag er det sådan, at en virksomhed, som ønsker at videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring, skal have forbrugerens udtrykkelige samtykke til videregivelsen, jf. § 4 b, stk. 2, i lov om private registre.

    Justitsministeriet har i svar på spørgsmål fra Folketingets Rets- og Erhvervsudvalg givet udtryk for, at det giver anledning til betydelig tvivl, om det vil være i overensstemmelse med direktivet (artikel 14, litra b) at indføre en generel ordning, hvorefter der altid skal indhentes samtykke til videregivelse af oplysninger om forbrugere til brug ved markedsføring.

    Justitsministeriet har derfor overvejet, på hvilken måde der kan gennemføres en ordning, som på den ene side så vidt muligt opretholder den gældende retstilstand, og som på den anden side må antages at være inden for rammerne af direktivet. Disse overvejelser er mundet ud i de bestemmelser, som foreslås i § 6, stk. 2-4, sammenholdt med § 36.

    Efter lovforslaget er det herefter således, at den virksomhed, der ønsker at videregive oplysninger om forbrugere til en anden virksomhed til brug ved markedsføring (eller anvende oplysningerne på vegne af en anden virksomhed i markedsføringsøjemed), skal opfylde to betingelser:

    For det første skal videregivelsen være hjemlet i lovforslagets § 6, stk. 2-4. Udgangspunktet er her, at forbrugeren skal give et udtrykkeligt samtykke til videregivelsen, jf. § 6, stk. 2. Samtykket skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 a. Udgangspunktet om samtykke kan fraviges i nærmere opregnede tilfælde, jf. § 6, stk. 3, sammenholdt med stk. 4. Der vil således være snævre grænser for, i hvilket tilfælde der uden samtykke kan videregives oplysninger om forbrugere til andre virksomheder til brug ved markedsføring.

    Selv om den dataansvarlige virksomhed efter de nævnte regler vil kunne videregive oplysninger uden forbrugernes udtrykkelige samtykke, må videregivelse for det andet kun ske, hvis forbrugeren ikke har gjort indsigelse imod det, jf. lovforslagets § 36.

    Forbrugerens indsigelse kan fremsættes i forbindelse med, at den pågældende orienteres om indsigelsesretten, eller på et senere tidspunkt, hvis forbrugeren ikke ønsker, at oplysninger om den pågældende fremover videregives til brug ved markedsføring.

    I stk. 2 fastsættes hovedreglen om, at virksomheder ikke må videregive oplysninger om forbrugere til andre virksomheder i markedsføringsøjemed (eller anvende oplysningerne på vegne af andre virksomheder i markedsføringsøjemed), medmindre forbrugeren har givet sit udtrykkelige samtykke til det. Om samtykkekravet henvises til lovforslagets § 3, nr. 8.

    I stk. 3 angives de tilfælde, hvor der gøres undtagelse fra kravet om samtykke i stk. 2. Som det fremgår af bestemmelsen kan kundeoplysninger kun videregives uden kundens samtykke, hvis to betingelser er opfyldt.

    For det første skal der være tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategrorier.

    Er denne betingelse opfyldt, skal videregivelsen for det andet følge af den interesseafvejning, som er fastsat i lovforslagets § 6, stk. 1, nr. 7. Efter denne bestemmelse kan videregivelse ske, hvis videregivelse er nødvendig for, at »den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.« Med dette supplerende krav sikres det, at videregivelse af generelle kundeoplysninger i markedsføringsøjemed ikke kan ske, hvis interesseafvejningen undtagelsesvis måtte tale herimod. Som eksempel herpå kan nævnes den situation, at en virksomhed har orienteret sine kunder om, at den ikke vil videregive oplysninger om kunderne til andre virksomheder til brug for markedsføring. Hvis virksomheden på trods heraf alligevel skulle beslutte sig for at videregive oplysningerne, vil hensynet til kunderne, jf. § 6, stk. 1, nr. 7, efter omstændighederne kunne tale imod, at en sådan videregivelse kan ske uden kundernes forudgående samtykke.

    Som eksempler på oplysninger, der herefter vil kunne videregives uden samtykke efter den foreslåede bestemmelse, kan nævnes oplysninger om kundens navn, adresse, køn og alder. Det samme gælder generelle oplysninger om f.eks., at kunden er husejer, bilejer, computerejer og lignende. Tilsvarende gælder f.eks. oplysninger om, at der er tale om en kunde til fritidsartikler, til baby- og småbørnsartikler, til økologiske varer, til vin- og spiritus eller andre generelt afgrænsede varegrupper.

    Derimod vil det efter den foreslåede bestemmelse ikke være muligt uden samtykke at videregive oplysninger, som afslører rent private forhold hos kunden, f.eks. spiritusmisbrug, jf. også stk. 3.

    Det vil heller ikke være muligt at videregive mere detaljerede kundeoplysninger eller forbrugsvaner uden kundens samtykke. Der må således f.eks. ikke videregives oplysninger om, hvorvidt kundens bil er købt på kredit, og i givet fald oplysninger om vilkårene for kreditten. Der må heller ikke videregives oplysninger om, hvilken mængde vin kunden køber. Det gælder, selv om dette ikke i sig selv afslører, at kunden har et spiritusmisbrug. Der må heller ikke videregives mere detaljerede oplysninger om, hvilken slags vin kunden køber.

    Det bemærkes, at der i det vejledningsmateriale om loven, som Datatilsynet vil udsende, vil blive redegjort for, hvilke generelle oplysninger der uden forbrugerens samtykke kan videregives til brug ved markedsføring.

    Kan videregivelse efter det anførte ske uden kundens samtykke, følger det herudover som nævnt af § 36, at videregivelse ikke må finde sted, hvis kunden har gjort indsigelse imod det.

    I stk. 4 angives det for at undgå enhver tvivl herom udtrykkeligt, at der ikke uden forbrugerens samtykke må videregives oplysninger om forbrugerens rent private forhold til andre virksomheder til brug ved markedsføring.

    Det angives endvidere i bestemmelsen, at justitsministeren ved bekendtgørelse vil kunne begrænse adgangen til efter stk. 3 at videregive andre typer af oplysninger til brug ved markedsføring. Baggrunden for bestemmelsen er, at det ikke på forhånd kan udelukkes, at der vil kunne vise sig et behov for, at visse typer oplysninger, som ikke angår forbrugerens rent private forhold, ikke skal kunne videregives uden forbrugerens udtrykkelige samtykke. Justitsministeriet og Datatilsynet vil på baggrund af erfaringerne med de nye regler vurdere, om måtte være behov for at udstede bestemmelser herom.

Til § 7

    I bestemmelsen fastsættes det, i hvilket omfang behandling af nærmere opregnede typer af følsomme personoplysninger må finde sted. For de typer af oplysninger, som ikke er omfattet af opregningen, gælder behandlingsreglerne i § 6, medmindre der er tale om behandling af oplysninger, som falder ind under bestemmelserne i §§ 8-13.

    Som anført i lovforslagets almindelige bemærkninger tilsigtes det med lovforslaget fortsat at sikre et højt beskyttelsesniveau i forhold til den enkelte borger. Det indebærer, at behandlingsreglerne i bestemmelsens stk. 2-7 i videst muligt omfang forudsættes administreret på den måde, at der ikke uden samtykke - registreres og videregives personoplysninger i videre udstrækning end efter den gældende registerlovgivning.

    Det skal i den forbindelse fremhæves, at reglerne i stk. 2-7 - i lighed med den gældende retstilstand - sætter snævre grænser for, i hvilke tilfælde private virksomheder m.v. må behandle oplysninger om enkeltpersoners politiske overbevisning, jf. betænkningen, side 236 f, og bemærkningerne til lovforslagets § 7, stk. 8.

    Af den nævnte undtagelsesbestemmelse i lovforslagets § 7, stk. 8, følger, at den offentlige forvaltning ikke må føre edb-registre over enkeltpersoners politiske tilhørsforhold i videre omfang end i dag.

    Endelig skal det fremhæves, at der med lovforslagets § 7 ikke lægges op til ændringer i den gældende retstilstand om, i hvilke tilfælde der må foretages samkøring i den offentlige forvaltning. Det forudsættes endvidere, at der stilles strenge krav til private dataansvarliges samkøring af oplysninger.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.4.2. (pkt. A) og 4.2.4.3.

Til stk. 1

    Bestemmelsen fastsætter et forbud mod, at visse typer af følsomme personoplysninger gøres til genstand for behandling. Undtagelse fra dette forbud gøres dog i bestemmelserne i stk. 2-7. Opregningen af typer af følsomme personoplysninger er udtømmende. Den særlige beskyttelse, som bestemmelsen hjemler, omfatter således kun oplysninger om enkeltpersoners racemæssige eller etniske baggrund, politiske, religiøse eller filosofiske overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Omfattet af udtrykket helbredsmæssige forhold er oplysninger om en fysisk persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinmisbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.4.2. (pkt. A) og betænkningen, side 448.

Til stk. 2

    I bestemmelsen fastsættes en række tilfælde, hvor behandling af personoplysninger, som er omfattet af stk. 1, kan finde sted. Bestemmelsen bygger på direktivets artikel 8, stk. 2, som må antages at indeholde en udtømmende opregning af, hvornår behandling af oplysninger som nævnt i artiklens stk. 1 kan finde sted.

    For behandling af oplysninger i medfør af bestemmelserne i nr. 2 og 4 gælder, at behandling kun kan ske, hvis den er nødvendig af hensyn til nærmere angivne interesser. Det vil bero på den konkrete situation, hvorvidt en given behandling af oplysninger må antages at være nødvendig i bestemmelsens forstand. Med kravet om, at behandlingen skal være nødvendig, er der således overladt et vist skøn til den dataansvarlige. Dette skøn vil dog altid kunne efterprøves af vedkommende tilsynsmyndighed, jf. § 55, stk. 1, og § 67. En nærmere fastlæggelse af, hvornår behandling af de i stk. 1 nævnte oplysninger er nødvendig, må derfor ske gennem tilsynsmyndighedernes virksomhed. I den forbindelse forudsættes det, at der sker en vis koordinering tilsynsmyndighederne imellem vedrørende de i bestemmelsen indeholdte standarder, jf. § 66 og § 68, stk. 1.

    Vurderingen af behandlingens nødvendighed afhænger - ligesom for så vidt angår behandling af almindelige personoplysninger, jf. § 6 - af, hvilken form for behandling der er tale om. Det indebærer, at behandlingsreglerne i stk. 2 - som også anført i de indledende bemærkninger til § 7 - i videst muligt omfang forudsættes administreret på den måde, at der ikke - uden samtykke - registreres og videregives personoplysninger i videre udstrækning end efter den gældende registerlovgivning.

    Efter bestemmelsen i nr. 1, kan behandling af de i stk. 1 nævnte personoplysninger finde sted, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen. Udtrykket samtykke skal forstås i overensstemmelse med den legale definition i lovforslagets § 3, nr. 8. Der skal således være tale om en frivillig, specifik og informeret viljestilkendegivelse. Et samtykke skal således meddeles på en sådan måde, at det klart og utvetydigt fremgår, at den registrerede har meddelt sit samtykke til behandlingen. Herudover skal samtykket være udtrykkeligt. Heraf følger, at den dataansvarlige ikke vil kunne opnå stiltiende eller indirekte tilslutning til behandling af de i stk. 1 nævnte oplysninger. Et egentligt krav om skriftlighed følger ikke af bestemmelsen. Der bør dog i videst muligt omfang søges indhentet et skriftligt samtykke fra den registrerede, idet der herved opnås klarhed omkring samtykkets rækkevidde. Det bemærkes endvidere, at det ved behandling af oplysninger på baggrund af et samtykke fra en registreret person er en betingelse, at også de grundlæggende principper i § 5 er opfyldt. Behandlingen af oplysninger vil således bl.a. skulle være i overensstemmelse med god databehandlingsskik, jf. § 5, stk. 1, ligesom behandlingen også skal være sagligt begrundet og relevant, jf. § 5, stk. 2 og 3.

    Behandling kan også finde sted, hvis den er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, jf. nr. 2. Bestemmelsen, der skal ses som et supplement til bestemmelsen i nr. 1, omfatter bl.a. den situation, at den registrerede på grund af sygdom eller andre fysisk betingede omstændigheder, som f.eks. senil demens og bevidstløshed, ikke er i stand til at meddele sit samtykke. Omfattet af bestemmelsen er endvidere den situation, at der foreligger juridiske hindringer for den registreredes meddelelse af samtykke til behandlingen. Dette vil f.eks. være tilfældet, hvis den registrerede er frataget sin retlige handleevne (umyndiggjort). For så vidt angår udtrykket vitale interesser, henvises til bemærkningerne til bestemmelsen i § 6, stk. 1, nr. 4.

    Behandling kan ligeledes ske, hvis den vedrører oplysninger, som er blevet offentliggjort af den registrerede, jf. nr. 3. Bestemmelsens tidsmæssige udstrækning er begrænset til det tidspunkt, hvor den oplysning, der ønskes behandlet, er offentliggjort af den registrerede. Det er dermed ikke tilstrækkeligt, at den dataansvarlige er bekendt med, at visse personoplysninger er bestemt til offentliggørelse. Offentliggørelse i bestemmelsens forstand foreligger, hvis oplysningerne er bragt til kundskab hos en bredere kreds af personer. Dette vil f.eks. være tilfældet, hvis oplysningerne viderebringes gennem tv, aviser og lignende landsdækkende medier. Også andre former for videregivelse af oplysninger vil kunne anses for offentliggørelse i bestemmelsens forstand. Det er en betingelse, at oplysningerne er offentliggjort på den registreredes foranledning. Oplysninger, som andre, f.eks. pressen, af egen drift har offentliggjort, er således ikke omfattet.

    Efter bestemmelsen i nr. 4 kan behandling endelig ske, hvis det er nødvendigt for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Bestemmelsen omhandler såvel behandling, der sker i den dataansvarliges interesse, som behandling, der sker i den registreredes interesse. Også behandling af oplysninger, der er nødvendig for, at en tredjemands retskrav kan fastlægges m.v., vil kunne ske i henhold til bestemmelsen. Omfattet af bestemmelsen er dermed bl.a. den situation, at behandling af oplysninger om den registrerede er nødvendig for, at den dataansvarlige kan afgøre, om den registrerede har et retskrav. Dette vil bl.a. være tilfældet med hensyn til offentlige myndigheders behandling af oplysninger som led i myndighedsudøvelse. Det gælder f.eks. i den situation, hvor de sociale myndigheder har mistanke om incest eller andre seksuelle overgreb mod børn og i den forbindelse ønsker at kontakte andre myndigheder, såsom sygehuse, politi m.v., for at beskytte børnene. Nævnes kan endvidere arbejdsgiveres behandling af helbredsoplysninger med henblik på at afgøre, om den registrerede har krav på erstatning. Dette vil ligeledes gælde for eksempelvis forsikringsselskabers behandling af helbredsoplysninger med henblik på at vurdere, om den registrerede har krav på erstatning. Nævnes kan endvidere den behandling af oplysning om bl.a. folketingskandidaters politiske overbevisning, som i dag sker i »Det fælleskommunale Valgopgørelsessystem«, og som har til formål at lette administrationen i bl.a. kommunerne i forbindelse med opgørelse af resultatet af kommunale valg og folketingsvalg. Omfattet af bestemmelsen er endvidere den situation, at behandling af oplysninger om den registrerede er nødvendig for, at det kan afgøres, hvorvidt den dataansvarlige kan gøre et krav gældende over for den registrerede. Som eksempel herpå kan nævnes skattemyndighedernes behandling af oplysninger om medlemsskab af folkekirken, der registreres i CPR med henblik på opkrævning af kirkeskatter. Endelig omfatter bestemmelsen som nævnt også den situation, at behandlingen er nødvendig for, at en tredjemands retskrav kan fastlægges, gøres gældende eller forsvares. En betingelse herfor er dog, at kravet om saglighed, jf. § 5, stk. 2, er opfyldt. Dette vil bl.a. være tilfældet i forbindelse med en dataansvarlig domstols behandling af oplysninger om andre personer end parterne, der er nødvendig for afgørelsen af en retssag.

    Der henvises i øvrigt til betænkningen, side 236 f.

Til stk. 3

    I bestemmelsen fastsættes, at behandling af oplysninger om enkeltpersoners fagforeningsmæssige tilhørsforhold kan ske, hvis det er nødvendigt for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder. Udtrykket arbejdsretlige forpligtelser eller specifikke rettigheder skal forstås i bred forstand. Omfattet af udtrykket er alle former for forpligtelser og rettigheder, som hviler på et arbejdsretligt grundlag. Dette gælder, uanset om grundlaget er lovgivning eller aftale. Også behandling af oplysninger, som sker til overholdelse af forpligtelser eller rettigheder, som følger af kollektive overenskomster mellem arbejdsmarkedets parter eller af individuelle ansættelseskontrakter, er dermed omfattet af bestemmelsen. Der henvises herved til betænkningen, side 238. Det bemærkes, at den behandling, som finder sted, naturligvis ikke må gå ud over rammerne for de grundlæggende principper for behandling af oplysninger, jf. § 5.

Til stk. 4

    Bestemmelsen indebærer, at bestemte dataansvarlige under nærmere angivne betingelser vil kunne foretage behandling af de i stk. 1 nævnte følsomme oplysninger.

    Bestemmelsens 1. pkt. fastsætter, at behandling af følsomme oplysninger kan ske, når den foretages inden for rammerne af den virksomhed, som udøves af stiftelser, foreninger og andre almennyttige organisationer, hvis sigte er af politisk, filosofisk, religiøs eller faglig art. Organisationens sigte skal forstås bredt. Omfattet af bestemmelsen vil således være ikke-kommercielle organisationer, som må anses for at have en samfundsmæssig betydning. Dette vil bl.a. kunne være tilfældet for så vidt angår sammenslutninger af personer med samme seksuelle baggrund eller sygdom eller sammenslutninger, der beskæftiger sig med f.eks. indvandrer- eller flygtningespørgsmål. Den behandling, som finder sted i organisationer, der falder ind under bestemmelsen, må kun foretages, hvis den vedrører organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne. Hvorvidt en person er at anse for medlem af en organisation, skal afgøres efter en konkret vurdering, hvori bl.a. vil kunne indgå organisationens vedtægter, almindelige foreningsretlige regler m.v. Hvis den registrerede har meldt sig ud af foreningen, må behandling naturligvis ikke finde sted. I kravet om, at behandlingen af oplysninger skal ligge inden for rammerne af organisationens virksomhed, ligger, at der skal være tale om behandling af oplysninger, som ikke står i modstrid med organisationens formål, således som dette måtte fremgå af bl.a. organisationens vedtægter.

    Efter bestemmelsens 2. pkt. må videregivelse af oplysninger, som må behandles efter 1. pkt., ikke ske, medmindre den registrerede har meddelt sit udtrykkelige samtykke hertil. Heraf følger bl.a., at den pågældende organisation ikke må videregive sit medlemsregister eller dele heraf til tredjemand, medmindre medlemmerne har meddelt deres udtrykkelige samtykke hertil.

Til stk. 5

    I den gældende registerlovgivning er fastsat særlige regler om behandling af følsomme oplysninger inden for sundhedssektoren, jf. lov om offentlige myndigheders registre § 16 a. Der henvises nærmere til betænkningen, side 55-62 og 95-100.

    Også i direktivets artikel 8, stk. 3, er fastsat særlige regler for, i hvilket omfang behandling af de i artiklens stk. 1 nævnte typer af følsomme personoplysninger kan finde sted inden for sundhedssektoren. I lyset heraf fastsættes det i bestemmelsen, at forbudet mod behandling af de i stk. 1 nævnte oplysninger ikke gælder, hvis behandlingen af personoplysninger er nødvendig med henblik på forebyggende medicin, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og behandlingen af personoplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen har tavshedspligt med hensyn til behandlingen. Bestemmelsen er udtryk for en nyskabelse i forhold til den gældende retstilstand.

    Den foreslåede bestemmelse indebærer, at den dataansvarlige vil kunne behandle de i stk. 1 nævnte oplysninger i forbindelse med varetagelsen af sine opgaver på sundhedsområdet. Dette gælder f.eks. i forbindelse med den patientbehandling, som finder sted på offentlige og private sygehuse eller hos praktiserende læger. Her vil den for patientbehandlingen nødvendige behandling af oplysninger om f.eks. seksuelle forhold eller om helbredsforhold, herunder om misbrug af nydelsesmidler, således kunne finde sted. Også behandling af personoplysninger, som er nødvendig for at følge op på en egentlig patientbehandling, f.eks. gennem offentlig støtte i form af hjælpemidler m.v., er omfattet af bestemmelsen. Bestemmelsen omfatter endvidere dataansvarliges løsning af deres administrative opgaver på det sundhedsmæssige område. Dette gælder bl.a. den amtskommunale forvaltning af sundhedsområdet.

    Det er en betingelse, at den, som forestår behandlingen af personoplysningerne, har tavshedspligt. Denne betingelse vil i almindelighed være opfyldt i relation til de personer, som normalt behandler følsomme personoplysninger inden for sundhedssektoren. I den gældende lovgivning er der således fastsat en række bestemmelser om tavshedspligt, der har betydning for behandling af oplysninger inden for det sundhedsmæssige område, jf. bl.a. straffelovens §§ 152 og 152 a-f, der er udtryk for dansk rets almindelige regler om tavshedspligt. Nævnes kan også tavshedspligtsregler, der særligt retter sig mod personer inden for sundhedsområdet, såsom lægelovens § 9, sygeplejerskelovens § 6 og terapiassistentlovens § 8.

    Der henvises i øvrigt til betænkningen, side 246- 251.

Til stk. 6

    Af bestemmelsen følger, at behandling af de i stk. 1 opregnede typer af oplysninger, kan ske, hvis behandlingen er nødvendig af hensyn til den dataansvarlige myndigheds varetagelse af sine opgaver på det strafferetlige område. Bestemmelsen er indsat for at sikre, at den nødvendige behandling af de i stk. 1 nævnte typer af oplysninger kan ske i forbindelse med offentlige myndigheders, f.eks. domstolenes samt politiets og anklagemyndighedens, varetagelse af deres opgaver på det strafferetlige område.

    Den foreslåede bestemmelse er ikke en konsekvens af direktivet. Det følger således af direktivets artikel 3, stk. 2, 1. pind, at direktivets bestemmelser ikke gælder for behandling, der vedrører statens aktiviteter på det strafferetlige område.

Til stk. 7

    Bestemmelsen fastsætter, at behandling af de i stk. 1 opregnede personoplysninger kan ske af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Bestemmelsen, der skal ses i lyset af direktivets artikel 8, stk. 4, tager sigte på behandling af oplysninger, som ikke er hjemlet i bestemmelserne i stk. 2-6. I givet fald kan behandling kun ske efter indhentet tilladelse fra vedkommende tilsynsmyndighed. I de tilfælde, hvor tilladelse meddeles, kan tilsynsmyndigheden fastsætte, under hvilke nærmere betingelser behandlingen må finde sted. Det påhviler tilsynsmyndigheden at foretage den fornødne underretning af Europa-Kommissionen med hensyn til de tilladelser, som meddeles i henhold til bestemmelsen. Herved sikres, at bestemmelsen i direktivets artikel 8, stk. 6, bliver overholdt.

    Bestemmelsen, der har karakter af en opsamlingsbestemmelse, forudsættes at have et snævert anvendelsesområde.

    Det er vanskeligt - på forhånd - at angive eksempler på eventuelle undtagelsestilfælde, der vil være omfattet af bestemmelsen i lovforslagets § 7, stk. 7.

    Det må således overlades til tilsynsmyndigheden (Datatilsynet) i det konkrete tilfælde at foretage en vurdering af, om behandling af oplysninger kan tillades af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, og om der bør fastsættes vilkår for behandlingen.

    Den omstændighed, at en uafhængig tilsynsmyndighed (Datatilsynet) efter bestemmelsen skal give tilladelse - eventuelt med vilkår - inden behandlingen iværksættes, er med til at sikre, at der ikke sker behandling i strid med lovens regler.

    Det kan i øvrigt nævnes, at der findes en lignende opsamlingsbestemmelse i den gældende lov om private registre. Efter lovens § 3, stk. 3, kan Registertilsynet tillade, at oplysninger om enkeltpersoners rent private forhold registreres, uanset at betingelserne i § 3, stk. 2, ikke er opfyldt, når det er nødvendigt for virksomheden m.v. at være i besiddelse af den pågældende oplysning for at muliggøre en berettiget varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der taler imod registrering.

    Efter denne bestemmelse har Registertilsynet givet humanitære organisationer m.v. tilladelse til at registrere oplysninger om rent private forhold i tilfælde, hvor den pågældendes samtykke ikke kan indhentes, jf. betænkningen, side 97.

    I det omfang, der i lovgivningen er fastsat særlige regler, hvorefter behandling af oplysninger kan ske af hensyn til nærmere angivne vigtige samfundsmæssige interesser, vil vedkommende tilsynsmyndigheds tilladelse til behandlingen ikke skulle indhentes. Derimod vil Europa-Kommissionen skulle underrettes om eksistensen af sådanne lovregler, jf. artikel 8, stk. 6. Underretning gives af vedkommende minister. Der henvises nærmere til betænkningen, side 240.

Til stk. 8

    Efter den nugældende registerlovgivning må forvaltningsmyndigheder ikke føre edb-registre med oplysninger om enkeltpersoners politiske forhold, som ikke er offentligt tilgængelige, jf. lov om offentlige myndigheders registre § 9, stk. 2, 1. pkt.

    Med lovforslaget er det ikke tanken at ændre denne retstilstand. For at fjerne enhver tvivl herom fastsættes det udtrykkeligt i selve lovteksten, at der for den offentlige forvaltning ikke må føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige.

    I øvrigt skal spørgsmålet om dataansvarlige myndigheders og private virksomheders m.v. adgang til at behandle oplysninger om enkeltpersoners politiske overbevisning afgøres efter behandlingsreglerne i lovforslagets § 7, stk. 2-7. Disse regler giver bl.a. politiet mulighed for i en konkret straffesag ligesom i dag at kunne notere oplysninger om borgernes politiske overbevisning i forbindelse med efterforskningen af f.eks. politisk motiverede forbrydelser. Der henvises herom til besvarelsen af spørgsmål nr. 10 fra Folketingets Retsudvalg vedrørende lovforslag nr. L 82 (fra folketingsåret 1997-98, 2. samling).

    Hvad særligt angår den private sektor er der grund til at fremhæve, at der ikke må føres edb-registre med oplysninger om politiske tilhørsforhold i videre omfang end efter den gældende registerlovgivning. Det indebærer, at det også fremover vil være en betingelse for at føre et edb-register med oplysninger om politiske tilhørsforhold, at de registrerede har givet deres samtykke hertil.

Til § 8

    Efter Justitsministeriets opfattelse må det således som Registerlovsudvalget også har lagt til grund antages, at den angivelse af følsomme oplysninger, der er fastsat i direktivets artikel 8, stk. 1, er udtømmende. Det er derfor ikke muligt at indsætte bl.a. »væsentlige sociale problemer« og »strafbare forhold« i opregningen af følsomme oplysninger i lovforslagets § 7, stk. 1.

    Justitsministeriet har imidlertid i bemærkningerne til L 44 og i svar på spørgsmål fra Folketingets Retsudvalg givet udtryk for, at de almindelige behandlingsregler i lovforslagets §§ 6-7 i videst muligt omfang forudsættes administreret således, at der ikke uden samtykke registreres og videregives personoplysninger i videre udstrækning end efter den gældende registerlovgivning. En sådan administration må efter Justitsministeriets opfattelse antages at falde inden for rammerne af direktivet.

    Formålet med reglerne i lovforslagets § 8 er navnlig at lovfæste den nævnte forudsætning, som lovforslaget bygger på. § 8 er derfor udformet i lyset af reglerne i loven om offentlige myndigheders registre og loven om private registre m.v.

    Bestemmelserne i § 8 skal administreres således, at den behandling (registrering og videregivelse), der kan findes sted efter § 7, også kan finde sted efter § 8. Det bemærkes i den forbindelse, at lovforslaget som nævnt bygger på den forudsætning, at (også) reglerne i § 7 så vidt muligt skal administreres i overensstemmelse med den gældende registerlovgivning.

    Det bemærkes endvidere, at der er den principielle forskel mellem reglerne i lovforslagets § 7 og § 8, at lovforslagets § 7 har til formål at gennemføre reglerne om behandling af særligt følsomme oplysninger i direktivets artikel 8. Heroverfor har lovforslagets § 8 til formål at udgøre en del af den samlede danske gennemførelse af direktivets mindre restriktive regler for behandling af andre typer personoplysninger, jf. direktivets artikel 7.

    Denne forskel vil efter Justitsministeriets opfattelse ikke i nævneværdig grad nødvendiggøre, at der anlægges en forskellig praksis vedrørende adgangen til at behandle oplysninger efter henholdsvis lovforslagets § 7 og lovforslagets § 8. Det skyldes, at direktivet overlader medlemsstaterne et vist spillerum til at fastlægge de nærmere kriterier for adgangen til at behandle oplysninger, der ikke i direktivets forstand har karakter af særligt følsomme oplysninger.

Til stk. 1-3

    Bestemmelserne i stk. 1-3 vedrører den offentlige forvaltning.

    I stk. 1 er det i lyset af bestemmelsen i § 9, stk. 2, i loven om offentlige myndigheders registre fastsat, at der for den offentlige forvaltning ikke må behandles oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Som eksempler på andre oplysninger om rent private forhold kan nævnes oplysninger om andre foreningsmæssige tilhørsforhold (end fagforeningsmæssige tilhørsforhold, der er nævnt i § 7), familiestridigheder, separation- og skilsmissebegæringer og adoptionsforhold.

    I stk. 2 er spørgsmålet om videregivelse særligt reguleret. Bestemmelsen omfatter både spørgsmålet om videregivelse til private og spørgsmålet om videregivelse til offentlige myndigheder. Bestemmelsen er udarbejdet i lyset af § 16, stk. 1-2 (om videregivelse til private) og § 21, stk. 1-2 (om videregivelse til offentlige myndigheder) i loven om offentlige myndigheders registre.

    Bestemmelserne i § 16, stk. 2, nr. 2, og § 21, stk. 2, nr. 2, i loven om offentlige myndigheders registre er ikke medtaget. Efter disse bestemmelser kan videregivelse ske, hvis det følger af lov eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives. Det er overflødigt at medtage disse bestemmelser, da reglerne om videregivelse i lovforslaget viger for en særregulering herom i anden lovgivning, jf. lovforslagets § 2, stk. 1, og bemærkningerne hertil.

    Bestemmelserne i § 16, stk. 2, nr. 5, og § 21, stk. 2, nr. 5, i loven om offentlige myndigheders registre er heller ikke medtaget. Efter disse bestemmelser kan videregivelse ske, hvis videregivelsen er nødvendig for udførelsen af videnskabelige eller statistiske undersøgelser af væsentlig samfundsmæssig betydning. Denne videregivelsessituation er reguleret i lovforslagets § 10.

    Efter bestemmelsen i stk. 2 skal spørgsmålet om videregivelse af de oplysninger om rent private forhold, der ikke er nævnt i § 7, stk. 1, som nævnt afgøres efter de kriterier, der er fastsat i loven om offentlige myndigheders registre og ikke efter de mere restriktive regler i forvaltningsloven. Disse kriterier vil i praksis også være af betydning for administrationen af de almindelige behandlingsregler i lovforslagets § 7, med hensyn til videregivelse af de oplysninger om rent private forhold, der er angivet i § 7, stk. 1.

    Efter registerloven er det muligt at videregive oplysninger om rent private forhold uden samtykke, hvis det er nødvendigt af hensyn til enten den myndighed, der afgiver oplysningerne, eller den myndighed, der modtager oplysningerne. Efter forvaltningsloven er det kun muligt at videregive oplysningerne uden samtykke, hvis det er nødvendigt af hensyn til den afgivende myndighed, eller hvis det er nødvendigt for, at en myndighed kan gennemføre tilsyns- eller kontrolopgaver.

    Bestemmelsen i stk. 3 begrænser den adgang til at videregive oplysninger om rent private forhold, som følger dels af den forudsatte administration af de almindelige behandlingsregler i lovforslagets § 7 (med hensyn til de i § 7, stk. 1, angivne oplysninger om rent private forhold), dels af stk. 2 (med hensyn til øvrige oplysninger om rent private forhold).

    Bestemmelsen omfatter myndigheder, der varetager opgaver inden for det sociale område. Det drejer sig om kommuners og amtskommuners socialforvaltninger og de statslige myndigheder, der varetager opgaver på det sociale område (de sociale nævn, Den Sociale Sikringsstyrelse og Den Sociale Ankestyrelse).

    Kriterierne for videregivelse svarer til dem, der er fastsat i forvaltningslovens § 28, stk. 2. I modsætning til forvaltningslovens § 28, stk. 2, regulerer bestemmelsen imidlertid ikke alene videregivelse til andre myndigheder, men også videregivelse til private.

    Hvis der på andre områder opstår behov for at begrænse den adgang til videregivelse af oplysninger om rent private forhold, der følger af de almindelige behandlingsregler i lovforslagets § 7 og den særlige videregivelsesbestemmelse i § 8, stk. 2, kan dette ske ved en bekendtgørelse, som vedkommende minister udsteder i henhold til lovforslagets § 72.

Til stk. 4-5

    Bestemmelserne i stk. 3-4 vedrører den private sektor.

    I stk. 4 er det i lyset af bestemmelsen i § 3, stk. 2, i lov om private registre m.v. fastsat, at private dataansvarlige må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. 1. pkt. Bestemmelsen omfatter i lighed med bestemmelsen i stk. 1 de typer af oplysninger om enkeltpersoners rent private forhold, som ikke falder ind under opregningen i lovforslagets § 7, stk. 1. Dog anses oplysninger om andre foreningsmæssige forhold end fagforeningsmæssige tilhørsforhold (der er reguleret i § 7) ligesom det er tilfældet efter bestemmelsen i § 3, stk. 2, i lov om private registre m.v. ikke for at være oplysninger om enkeltpersoners rent private forhold.

    Af bestemmelsens 2. pkt. følger, at behandling kan ske uden samtykke, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. Bestemmelsen tilsigter at videreføre den gældende retstilstand efter loven om private registre m.v. Bestemmelsen opstiller derfor meget snævre rammer for, hvornår der kan ske registrering af følsomme personoplysninger uden samtykke. Bestemmelsen giver i lighed med den gældende retstilstand mulighed for, at en virksomhed kan registrere oplysninger om strafbare forhold med henblik på indgivelse af politianmeldelse, f.eks. om butikstyveri, og eventuel senere afgivelse af vidneforklaring i retten. Oplysningerne skal dog destrueres snarest muligt, jf. § 5, stk. 5. Bestemmelsen muliggør endvidere, at humanitære organisationer m.v., såsom Amnesty International, uden den pågældendes samtykke kan behandle oplysninger om strafbare forhold, f.eks. fordi den registrerede ikke kan findes, eller fordi det ikke har været muligt at rette henvendelse til den pågældende som følge af fængsling eller lignende.

    Det bemærkes, at der efter lovforslagets § 50, stk. 1, nr. 1, skal gives tilladelse til registrering af oplysninger om rent private forhold.

    I stk. 5 er spørgsmålet om videregivelse særligt reguleret. Bestemmelsen er udarbejdet i lyset af § 4, stk. 1, i lov om private registre.

    Af bestemmelsens 1. pkt. følger således, at de i stk. 3 nævnte oplysninger om rent private forhold ikke må videregives uden den registreredes samtykke. Videregivelse kan dog ske uden samtykke, når videregivelsen sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, jf. 2. pkt.

    Det bemærkes, at der ikke er medtaget en regel om, at videregivelse kan ske, hvis det følger af lov eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, jf. herved § 4, stk. 1, 1. pkt., i lov om private registre m.v. Det skyldes, at det er overflødigt at medtage en sådan bestemmelse, da reglerne om videregivelse i lovforslaget som nævnt viger for en særregulering herom i anden lovgivning, jf. lovforslagets § 2, stk. 1, og bemærkningerne hertil.

    Der er heller ikke fundet behov for at medtage en bestemmelse om, at videregivelse uden samtykke kræver tilsynsmyndighedens tilladelse, jf. herved § 4, stk. 1, 2. pkt., i lov om private registre m.v. Et sådant krav følger af lovforslagets § 50, stk. 1, nr. 1.

Til stk. 6

    Af bestemmelsen følger, at et fuldstændigt register over straffedomme kun må føres for en offentlig myndighed. Bestemmelsen, der har sin baggrund i direktivets artikel 8, stk. 5, indebærer, at private ikke må opbygge et fuldstændigt register over straffedomme. Dette gælder både for så vidt angår manuelle og elektroniske registre. De eksisterende private retsinformationssystemer er ikke fuldstændige i den forstand, at de indeholder oplysninger om samtlige afsagte straffedomme. Sådanne retsinformationssystemer vil derfor, såfremt de indeholder oplysninger om strafbare forhold, som er personhenførbare, jf. § 3, nr. 1, ikke være omfattet af den foreslåede bestemmelse. Et fuldstændigt register i bestemmelsens forstand vil derimod være Det Centrale Kriminalregister. Der er ikke efter bestemmelsen noget til hinder for, at dette register føres ved en privat databehandler, jf. § 3, nr. 5.

Til § 9

    I bestemmelsen fastsættes særlige regler for behandling af oplysninger med henblik på at føre et retsinformationssystem. Bestemmelsen har sin baggrund i direktivets artikel 8, stk. 4, hvorefter medlemsstaterne af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, kan fastsætte andre undtagelser fra behandlingsforbudet i artikel 8, stk. 1, end dem, som følger af artikel 8, stk. 2 og 3.

    Bestemmelsen i stk. 1 indebærer, at oplysninger, der er omfattet af § 7, stk. 1, eller § 8 kan behandles med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning. Dette vil navnlig være systemer, som er til rådighed for en bredere kreds af abonnenter for at sikre en ensartet retsanvendelse. Derimod vil en myndigheds eller virksomheds interne retsinformationssystem være underlagt de almindelige behandlingsregler.

    Efter bestemmelsen skal behandlingen være nødvendig for førelsen af systemerne. Dette betyder, at bestemmelsen ikke hjemler adgang til at behandle oplysninger i et retsinformationssystem, hvis systemet kunne tjene sit formål ligeså sikkert og effektivt uden oplysninger om enkeltpersoner.

    Det følger af bestemmelsen i stk. 2, at der ikke senere må ske behandling af oplysninger, som er omfattet af stk. 1, til andre formål. Dette medfører bl.a., at oplysningerne ikke må anvendes til at træffe foranstaltninger eller afgørelser vedrørende registrerede personer. Dette gælder også med hensyn til behandling af andre oplysninger, som i henhold til § 6 alene foretages med henblik på at føre retsinformationssystemer. Oplysningerne må naturligvis anvendes i forbindelse med f.eks. førelse af en retssag, idet en sådan anvendelse ikke ligger uden for formålet med et retsinformationssystem.

    Med stk. 3 sikres det, at der - ligesom hvad der i dag gælder for private retsinformationssystemer - kan fastsættes vilkår for behandling af de i stk. 1 nævnte oplysninger. Herudover kan tilsynsmyndigheden efter bestemmelsen meddele nærmere vilkår for den behandling af de i § 6 nævnte oplysninger, som alene sker i tilknytning til førelsen af retsinformationssystemer. Der kan f.eks. fastsættes vilkår om, at personnavne, præcise adresseangivelser og eventuelt andre identifikationsoplysninger fjernes i samme omfang, som dette skal ske efter Justitsministeriets cirkulære nr. 85 af 8. juli 1988 om indlæggelse af afgørelser i Retsinformation.

    Der henvises i øvrigt til betænkningen, side 251 f.

Til § 10

    I bestemmelsen fastsættes særlige regler for behandling i statistisk eller videnskabeligt øjemed. Bestemmelsen har sin baggrund i direktivets artikel 8, stk. 4, hvorefter medlemsstaterne af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, kan fastsætte andre undtagelser fra behandlingsforbudet i artikel 8, stk. 1, end dem, som følger af artikel 8, stk. 2 og 3.

    Efter bestemmelsen i stk. 1 vil der kunne behandles oplysninger som nævnt i § 7, stk. 1, eller § 8, såfremt behandlingen alene finder sted med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning. Det forudsættes, at der ikke sker nogen indskrænkning i forhold til de muligheder, som dataansvarlige har for at foretage undersøgelser i statistisk eller videnskabeligt øjemed efter den gældende registerlovgivning. Såfremt en behandling tillige har andre formål, vil behandlingen skulle vurderes efter bestemmelserne i henholdsvis § 7, stk. 2-4, og § 8, stk. 1-2 og stk. 4-5. Bestemmelsen finder kun anvendelse, hvis behandlingen er nødvendig for udførelsen af statistiske eller videnskabelige undersøgelser.

    Det følger af stk. 2, at der ikke senere må ske behandling af oplysninger, som er omfattet af stk. 1, til andre formål. Dette medfører bl.a., at oplysningerne ikke må anvendes til at træffe foranstaltninger eller afgørelser vedrørende bestemte personer. Der vil således alene kunne ske efterfølgende behandling, herunder videregivelse, jf. stk. 3, til private forskere eller offentlige myndigheder i det omfang, behandlingen alene sker med henblik på udførelsen af andre statistiske eller videnskabelige undersøgelser. Tilsvarende gælder med hensyn til behandling af andre oplysninger, som i henhold til § 6 alene foretages med henblik på at udføre statistiske eller videnskabelige undersøgelser.

    Bestemmelsen i stk. 3 fastsætter endelig, at videregivelse til tredjemand kun kan ske efter forudgående tilladelse fra vedkommende tilsynsmyndighed og i givet fald kun med henblik på udførelse af undersøgelser i statistisk eller videnskabeligt øjemed, jf. stk. 1 og 2. Bestemmelsen svarer i det væsentlige til den gældende ordning i registerlovgivningen, jf. lov om offentlige myndigheders registre § 18, 2. pkt., og § 21, stk. 5, samt de vilkår, der almindeligvis fastsættes af Registertilsynet i henhold til lov om private registre § 2, stk. 3. Efter bestemmelsen kan vedkommende tilsynsmyndighed meddele vilkår til sikring af, at oplysningerne alene vil blive anvendt til statistiske eller videnskabelige formål samt vilkår til beskyttelse af de registreredes privatliv. Efter lov om offentlige myndigheders registre kan Registertilsynet alene stille vilkår for så vidt angår videregivelse af oplysninger fra den offentlige forvaltning til private forskere.

    Ifølge den gældende lov om offentlige myndigheders registre giver Registertilsynet tilladelse efter ansøgning i hvert enkelt tilfælde. Efter den foreslåede bestemmelse kan vedkommende tilsynsmyndighed give en generel tilladelse til videregivelsen. Det skal i tilladelsen præciseres, hvilke oplysningstyper der må videregives. Endvidere skal det anføres, til hvilke undersøgelser og i hvilken periode videregivelse må finde sted. Tilladelsen vil f.eks. kunne gives i forbindelse med anmeldelsen af en behandling, hvis den dataansvarlige allerede på anmeldelsestidspunktet kan forudse, at en videregivelse til tredjemand til brug for statistiske eller videnskabelige undersøgelser vil blive aktuel.

    Der henvises i øvrigt til betænkningen, side 252- 259.

Til § 11

    I bestemmelsen fastsættes regler for, i hvilket omfang offentlige myndigheder og private kan behandle oplysninger om personnumre. Bestemmelsen skal for den private sektors vedkommende afløse den gældende bestemmelse i lov om private registres § 4 a, og for den offentlige forvaltnings vedkommende bestemmelserne i § 9, stk. 1, og §§ 17 og 21, stk. 3, om henholdsvis registrering og videregivelse af personnumre.

    Om baggrunden for de foreslåede regler henvises nærmere til lovforslagets almindelige bemærkninger pkt. 4.2.4.2. (pkt. B) og 4.2.4.3.

Til stk. 1

    Af bestemmelsen følger, at offentlige myndigheder vil kunne behandle oplysninger om personnumre med henblik på en entydig identifikation samt som journalnummer. Bestemmelsen indebærer, at der vil kunne ske behandling af oplysninger om personnumre i samme omfang som efter den gældende registerlovgivning.

    Bestemmelsen indebærer, at en forvaltningsmyndighed ikke må føre åbne postlister, hvor borgernes personnumre er anvendt som journalnummer.

Til stk. 2

    I bestemmelsen fastsættes regler for privates behandling af oplysninger om personnumre.

    Efter reglen i nr. 1 vil private virksomheder m.v. kunne foretage behandling, herunder registrering og videregivelse, af oplysninger om personnumre, såfremt det følger af lov eller bestemmelser fastsat i henhold til lov. Dette svarer i det væsentlige til den gældende ordning i lov om private registre, jf. lovens § 4 a, stk. 1, jf. § 3, stk. 2, 1. led, og § 4 a, stk. 2.

    Herudover vil der efter bestemmelsen kunne ske behandling af oplysninger om personnumre, hvis den registrerede har givet sit udtrykkelige samtykke hertil, jf. nr. 2. Et sådant samtykke skal opfylde betingelserne i § 3, nr. 8. Med hensyn til betydningen af kravet om, at samtykket skal være udtrykkeligt, henvises til bemærkningerne til § 6, stk. 1, nr. 1.

    Endelig vil der efter bestemmelsen nr. 3 kunne ske behandling uden samtykke, hvis dette alene sker i forbindelse med undersøgelser i videnskabeligt eller statistisk øjemed. Hermed videreføres den gældende retstilstand vedrørende registrering og videregivelse af personnumre som led i udførelsen af forskning eller statistik.

    Bestemmelsen indebærer endvidere, at registrerede oplysninger om personnumre kan videregives i samme omfang som efter den hidtil gældende retstilstand, jf. § 4 a, stk. 2, i lov om private registre m.v. Dette giver navnlig mulighed for at opretholde den nuværende adgang til på grundlag af kundernes personnumre at foretage samkøring i den finansielle sektor.

    Med den foreslåede bestemmelse tilsigtes i øvrigt ikke at indskrænke adgangen til at anvende oplysninger om personnumre, som er registreret med særlig lovhjemmel, jf. § 11, stk. 2, nr. 1.

    Det bemærkes, at kreditoplysningsbureauers publikationer ikke må indeholde oplysninger om de registreredes personnummer, jf. lovforslagets § 23, stk. 2, 2. pkt., der opretholder den gældende bestemmelse i lov om private registre § 12, stk. 2, 2. pkt.

Til stk. 3

    Af bestemmelsen følger, at private dataansvarliges behandling af oplysninger om personnumre i henhold til bestemmelsen i stk. 2, nr. 3, ikke må indebære, at der sker offentliggørelse af oplysningerne uden den registreredes udtrykkelige samtykke. Herved sikres det, at oplysninger, som lovligt kan behandles efter stk. 2, nr. 3, ikke uden den berørtes accept kan videregives til en bredere kreds af personer. Det bemærkes, at det for så vidt angår behandling af oplysninger om personnumre i medfør af bestemmelsen i stk. 2, nr. 2, forudsættes, at offentliggørelse kun vil kunne ske, hvis den registrerede udtrykkeligt har meddelt samtykke hertil.

Til § 12

    I lov om private registre kapitel 4 er fastsat særlige regler om adresserings- og kuverteringsbureauer.

    Med de foreslåede bestemmelser fastsættes der fortsat særlige regler for sådanne bureauer. Bestemmelserne giver adresserings- og kuverteringsbureauer en videregående adgang til at anvende personoplysninger end efter den gældende ordning. Bestemmelserne gælder også for offentlige myndigheder i det omfang, disse måtte udøve adresserings- og kuverteringsbureauvirksomhed.

    Af bestemmelsen i stk. 1 fremgår, hvilke oplysninger en dataansvarlig, som med henblik på markedsføring sælger adresser over grupper af personer, eller som for tredjemand foretager kuvertering eller udsendelse af meddelelser til sådanne grupper, må behandle. Bestemmelsen omfatter således kun de situationer, hvor bureauet er dataansvarlig for de oplysninger, som sælges eller danner grundlag for kuvertering eller udsendelse for tredjemand. Hvis en dataansvarlig derimod overlader egne oplysninger til et bureau med henblik på, at bureauet foretager kuvertering eller udsendelse, er det de almindelige behandlingsbestemmelser samt bestemmelsen om indsigelse imod behandling i markedsføringsøjemed, som finder anvendelse. I så fald vil bureauet blot være databehandler og må derfor ikke behandle oplysningerne til andre formål end dem, som den dataansvarlige giver instruks om, jf. § 42, stk. 2, sammenholdt med § 3, nr. 5.

    Af reglen i nr. 1 følger, at der må behandles oplysninger om navn, adresse, stilling, erhverv, e-postadresse og telefon- og telefaxnummer. Endvidere må oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, behandles, jf. nr. 2. Endelig må andre oplysninger behandles, hvis den registrerede har givet udtrykkeligt samtykke dertil, jf. nr. 3. Et sådant samtykke skal opfylde de betingelser, som fremgår af § 3, nr. 8. Med hensyn til betydningen af kravet om, at samtykket skal være udtrykkeligt, henvises til bemærkningerne til § 6, stk. 1, nr. 1. Et samtykke skal endvidere indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 a.

    Adgangen til efter bestemmelsen at behandle de i nr. 1-3 nævnte oplysninger gælder dog ikke, hvis dette vil være i strid med bestemmelsen i stk. 2. Af denne bestemmelses 1. pkt. fremgår, at der ikke må ske behandling af de i § 7, stk. 1, og § 8 nævnte oplysninger. Dette gælder, uanset om der er givet samtykke dertil. Efter bestemmelsens 2. pkt. kan justitsministeren fastsætte yderligere begrænsninger i adgangen til at behandle bestemte typer af oplysninger.

    Det bemærkes, at den registrerede altid vil kunne fremsætte indsigelse mod, at et dataansvarligt adresserings- og kuverteringsbureau behandler oplysninger om den pågældende med henblik på markedsføring, herunder salg, kuvertering eller udsendelse, jf. § 36, stk. 1, ligesom adresserings- og kuverteringsbureauet skal følge proceduren i § 36.

Til § 13

    I bestemmelsen fastsættes regler for offentlige myndigheders og private virksomheders m.v. adgang til at foretage automatisk registrering af, hvilke telefonnumre der er foretaget opkald til fra deres telefoner. Bestemmelsen svarer i det væsentlige til den nuværende ordning i lov om private registre § 7 f. Bestemmelsen gælder dog ikke kun for private, men også for offentlige myndigheder.

    Reglen i stk. 1, 1. pkt., tager sigte på at beskytte ansattes privatliv i forbindelse med brugen af telefoner, som er installeret hos den ansattes arbejdsgiver, det være sig offentlige myndigheder eller private virksomheder m.v. Bestemmelsen gælder ikke, hvis de pågældende telefoner alene benyttes af ejeren af en enkeltmandsejet virksomhed. Registreringsforbudet gælder, uanset om opkaldet foretages fra den dataansvarliges fast installerede telefoner eller fra mobiltelefoner. Forbudet retter sig alene mod registrering af selve det opkaldte telefonnummer, og reglen er således ikke til hinder for en registrering af tællerskridt eller tidsrummet for den førte samtale. Endvidere vil der kunne registreres dele af det opkaldte nummer, f.eks. derved at de to sidste cifre i et ottecifret nummer udelades. Bestemmelsen udelukker endvidere ikke, at der i en offentlig myndighed eller virksomhed m.v. sker manuel registrering af opkaldte telefonnumre. Om sådan registrering vil være lovlig, skal afgøres efter lovgivningen i øvrigt.

    Vedkommende tilsynsmyndighed kan efter 2. pkt. give tilladelse til, at der - uanset forbudet i 1. pkt. - foretages automatisk registrering af ansattes udgående opkald. Det kan i den forbindelse efter omstændighederne tillægges betydning, om den registrerede har meddelt samtykke til registreringen. Som eksempel på tilfælde, hvor tilsynsmyndigheden kan meddele tilladelse, kan nævnes offentlige myndigheder eller virksomheder m.v., der ønsker at foretage registrering af de telefonopkald, der er foretaget i forbindelse med udførelsen af en bestemt arbejdsopgave i ind- eller udlandet med henblik på at kunne få refunderet udgifterne ved samtalerne af medkontrahenten i henhold til en indgået aftale herom. Ved vurderingen af, om tilladelse til registrering kan gives, skal der tages hensyn til artikel 5 og 14 i ISDN-direktivet.

    Tilsynsmyndigheden kan efter bestemmelsen fastsætte vilkår for tilladelsen. I de fleste tilfælde vil det være naturligt i hvert fald at fastsætte vilkår om, at de ansatte på en klar og utvetydig måde orienteres om, at registreringen af kaldte numre finder sted. Registertilsynets praksis efter lov om private registre § 7 f, stk. 1, kan også i denne henseende tillægges betydning.

    Af bestemmelsen i stk. 2 følger, at registreringsforbudet ikke gælder, hvis andet følger af lov. Dette kan f.eks. være tilfældet, hvor adgangen til registreringen følger af retsplejelovens bestemmelser om efterforskningsskridt i straffesager. Forbudet omfatter heller ikke udbydere af telenet og teletjenesters registrering af, til hvilke telefonnumre der er foretaget opkald, enten til eget brug eller til brug ved teknisk kontrol. Det bemærkes i øvrigt, at telefonselskaber ikke på baggrund af sådanne registreringer lovligt vil kunne udsende fuldt specificerede telefonregninger, hvis dette medfører, at abonnenten derved modtager oplysninger, som denne ikke selv lovligt vil kunne registrere efter stk. 1.

Til § 14

    Bestemmelsen regulerer spørgsmålet om arkivering. Efter bestemmelsen kan oplysninger, som er omfattet af loven, overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen. Bestemmelsen indebærer, at der vil kunne ske arkivering af behandlede oplysninger i det omfang, dette følger af reglerne i arkivlovgivningen. Dette gælder for oplysninger, som er behandlet for såvel offentlige myndigheder som for private. Med hensyn til de private arkivalier bemærkes, at den foreslåede bestemmelse er udtryk for en kodificering af, hvad der antages at gælde efter lov om private registre.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.11.3. og betænkningen, side 145-150.

Til kapitel 5

Videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige

Til §§ 15-18

    De gældende regler om den offentlige forvaltnings videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige findes i lov om offentlige myndigheders registre kapitel 5 a, §§ 20 a-d.

    De foreslåede bestemmelser svarer til de gældende regler i kapitel 5 a i lov om offentlige myndigheders registre. Den gældende praksis på området vil dermed fortsat være af betydning. Der henvises i den forbindelse bl.a. til Registertilsynets vejledning af 25. september 1995 om offentlige myndigheders indberetning af skyldnere til private kreditoplysningsbureauer og til tilsynets cirkulæreskrivelse af 25. marts 1997 vedrørende offentlige myndigheders indberetning til private kreditoplysningsbureauer.

Til kapitel 6

Kreditoplysningsbureauer

    I kapitlet fastsættes detaljerede regler om kreditoplysningsbureauers virksomhed. Reglerne svarer i det væsentlige til den ordning, som er indeholdt i lov om private registre kapitel 3, §§ 8-16. De forslag til ændringer i den gældende ordning, som er indeholdt i kapitlet, er medtaget for at tilpasse reglerne til direktivets bestemmelser. Herudover foreslås visse præciseringer, som har deres baggrund i de praktiske erfaringer med de gældende regler.

    Reglerne tager sigte på al form for kreditoplysningsvirksomhed. Det er således uden betydning, hvem der måtte ønske at drive virksomhed med behandling af oplysninger til bedømmelse af soliditet og kreditværdighed med henblik på videregivelse. I praksis drives sådanne aktiviteter for tiden kun i den private sektor. De foreslåede regler tager derfor primært sigte herpå. Dette understreges bl.a. af, at der i § 19 henvises til reglen om anmeldelse af behandlinger, der foretages for private (§ 50, stk. 1, nr. 3). Hvis offentlige myndigheder på et tidspunkt måtte ønske at påbegynde kreditoplysningsvirksomhed, følger det af reglen i § 19, at tilladelse hertil skal indhentes hos Datatilsynet.

    I det omfang, spørgsmål om kreditoplysningsbureauers virksomhed ikke måtte være reguleret i kapitlet, gælder lovens almindelige regler. Dette indebærer bl.a., at tilsynet med kreditoplysningsbureauers virksomhed er undergivet de almindelige regler i kapitel 16 om Datatilsynet.

Til § 19

    Bestemmelsen svarer i det væsentlige til den gældende bestemmelse i lov om private registre § 8. Med henvisningen til § 50, stk. 1, nr. 3, foreslås det dog, at kreditoplysningsbureauer skal have Datatilsynets forudgående tilladelse til at påbegynde kreditoplysningsvirksomhed.

Til § 20

    Bestemmelsen i stk. 1 svarer - med en sproglig ændring - til den gældende bestemmelse i lov om private registre § 9, stk. 1, og indebærer dermed ikke ændringer i den gældende retstilstand. Kreditoplysningsbureauer må derfor fortsat kun foretage behandling af oplysninger, som efter deres art er af betydning for bedømmelsen af økonomisk soliditet og kreditværdighed.

    I stk. 2 fastsættes et forbud mod, at oplysninger om enkeltpersoners rent private forhold behandles af kreditoplysningsbureauer. Bestemmelsen svarer til den gældende bestemmelse i lov om private registre § 9, stk. 2.

    Bestemmelsen i stk. 3 svarer - med en sproglig ændring - til, hvad der følger af lov om private registre § 9, stk. 3. Oplysninger om forhold, der taler imod kreditværdighed, og som er mere end 5 år gamle, må fortsat ikke behandles, medmindre det i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen af den pågældendes økonomiske soliditet og kreditværdighed.

Til § 21

    Bestemmelsen fastsætter, at kreditoplysningsbureauer i overensstemmelse med § 28, stk. 1, eller § 29, stk. 1, skal meddele de oplysninger, der er nævnt i disse bestemmelser, til den, der behandles oplysninger om. Efter bestemmelsen påhviler der kreditoplysningsbureauer en ubetinget oplysningspligt ved behandling af oplysninger. Der skal således - i modsætning til den gældende ordning i lov om private registre § 10, stk. 1 - gives meddelelse til den registrerede, hvis den pågældende blot optages i et kreditoplysningsbureaus optegnelser med navn, adresse, stilling, erhverv eller oplysninger, der fremgår af Statstidende eller frit kan indhentes fra Det Centrale Virksomhedsregister. Ændringen skal ses på baggrund af bestemmelserne i direktivets artikel 10 og 11.

    Det, der skal gives underretning om, er de oplysninger, der er nævnt i bestemmelserne i § 28, stk. 1, og § 29, stk. 1. Indsamling af oplysninger sker normalt hos andre end den registrerede selv. I sådanne tilfælde skal den registrerede gives de i § 29, stk. 1, nævnte oplysninger. I praksis forekommer det også, at kreditoplysningsbureauer i anledning af en konkret forespørgsel eller i forbindelse med registrering af mere detaljerede oplysninger om en virksomhed retter henvendelse til den registrerede for at få supplerende oplysninger om vedkommende. I givet fald er det bestemmelsen i § 28, stk. 1, der fastlægger, hvilke oplysninger der skal gives den registrerede.

    Den pligt til at give den registrerede vejledning om adgangen til at få oplysninger fra registeret (indsigt), som følger af lov om private registre § 10, stk. 1, 2. pkt., vil fortsat gælde efter den foreslåede bestemmelse, jf. herved § 28, stk. 1, nr. 3, litra c, og § 29, stk. 1, nr. 3, litra c.

    Tidspunktet for oplysningspligtens indtræden følger af bestemmelserne i §§ 28, stk. 1, og 29, stk. 1, hvortil der henvises. Det forudsættes, at underretning af den registrerede under alle omstændigheder - som efter den hidtil gældende retstilstand - sker inden 4 uger efter, at oplysningerne er indsamlet, selv om dette i det konkrete tilfælde ikke skulle følge af reglerne i §§ 28, stk. 1 eller 29, stk. 1.

Til § 22

    Bestemmelsen i stk. 1 svarer - med en enkelt ændring - til den gældende bestemmelse i lov om private registre § 11, stk. 1. Som følge af direktivets artikel 12, litra a, foreslås det, at det præciseres i bestemmelsen, at meddelelse af indsigt til den registrerede skal ske på en let forståelig måde.

    Bestemmelsen i stk. 2 svarer til den gældende bestemmelse i lov om private registre § 11, stk. 2.

    I stk. 3 fastsættes, at kreditoplysningsbureauer er forpligtet til at give den registrerede oplysning om kategorien af modtagere af oplysningerne, samt tilgængelig information om, hvorfra de i stk. 1 og 2 nævnte oplysninger stammer. Bestemmelsen er indsat for at tilpasse lovgivningen til direktivets artikel 12, litra a.

    I stk. 4 fastsættes det, at den registrerede kan forlange skriftlig meddelelse som nævnt i stk. 1-3, jf. 1. pkt.

    Med hensyn til forholdet mellem bestemmelsen i stk. 4 og bestemmelsen i stk. 2 bemærkes, at bestemmelsen i stk. 4 ikke giver den registrerede adgang til skriftlig indsigt i det materiale, der er nævnt i stk. 2. Den registrerede har som fastsat i stk. 2 kun krav på at gennemgå dette materiale ved personlig henvendelse til bureauet. Bestemmelsen fastsætter alene, at den meddelelse, der skal gives efter stk. 2, på forlangende skal gives skriftligt.

    Af bestemmelsens 2. pkt. følger, at justitsministeren fastsætter regler om betaling for skriftlige meddelelser.

    Det er tanken at fastsætte betalingen således, at der kan kræves et ekspeditionsgebyr for skriftlig meddelelse af indsigt. Det er derimod ikke tanken at fastsætte betalingen således, at de reelle omkostninger, der er forbundet med at give indsigt, bliver dækket.

    Det er hensigten ved lovens ikrafttræden at udstede en bekendtgørelse om betaling for skriftlige meddelelser. Dette vil ske med udgangspunkt i bekendtgørelse nr. 664 af 21. december 1978 om betaling for skriftlige meddelelser fra kreditoplysningsbureauer.

    Efter denne bekendtgørelse er udgangspunktet, at den første skriftlige meddelelse af indsigt er gratis, og at der ellers skal betales 10 kr. herfor. Det bemærkes, at det ikke er tanken at videreføre de bestemmelser i 1978-betalingsbekendtgørelsen, hvorefter bureauet hvis meddelelsen omfatter en samlet beskrivelse eller bedømmelse af en erhvervsdrivendes eller en erhvervsvirksomheds økonomiske forhold kan kræve 50 kr. for hver påbegyndt side, og at en sådan betaling også kan kræves den første gang, der forlanges skriftlig meddelelse af indsigt. Det er i stedet tanken, at den første skriftlige meddelelse fortsat skal være gratis, og at et kreditoplysningsbureau for skriftlig meddelelse efter § 22, stk. 1-3, ellers skal kunne kræve 10 kr. for hver påbegyndt side. Betalingen skal dog ikke kunne overstige 200 kr. Disse takster svarer til den generelle ordning, der vil blive fastsat efter lovforslagets § 34, stk. 2, jf. bestemmelsens bemærkninger.

    De foreslåede regler i stk. 1-4 indebærer ikke i øvrigt ændringer i den gældende retstilstand.

Til § 23

    I bestemmelserne i stk. 1-4 er fastsat regler om, i hvilken form oplysninger om økonomisk soliditet og kreditværdighed må videregives, samt i hvilket omfang summariske oplysninger om skyldforhold må videregives. De foreslåede bestemmelser er i det væsentlige en videreførelse af de gældende regler i lov om private registre § 12, stk. 1-4.

    Bestemmelsen i stk. 3, 3. pkt., præciserer, at betingelserne for videregivelse af summariske oplysninger også skal være opfyldt, hvis sådanne oplysninger videregives i forbindelse med udarbejdelse af bredere kreditbedømmelser.

    Det forudsættes, at bestemmelsen i stk. 4 ikke er til hinder for, at kreditoplysningsbureauerne videregiver oplysninger opdelt efter postnumre. Der henvises herved til betænkningen, side 281 f.

    Om baggrunden for de foreslåede præciseringer af reglerne i lov om private registre § 12, stk. 3 og 4, henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.4.3.

Til §§ 24 og 25

    Bestemmelserne svarer til de gældende regler i lov om private registre §§ 13 og 14.

Til § 26

    Af bestemmelsen i stk. 1 følger, at henvendelser fra en registreret om sletning, berigtigelse eller blokering af oplysninger eller bedømmelser, der angives at være urigtige eller vildledende, eller om sletning af oplysninger, der ikke må behandles, jf. § 37, stk. 1, snarest og inden 4 uger efter modtagelsen skal besvares skriftligt af bureauet. Bestemmelsen svarer - med en enkelt ændring - til den gældende bestemmelse i lov om private registre § 15. Den foreslåede ændring indebærer, at også henvendelser fra den registrerede om blokering af oplysninger skal besvares skriftligt snarest muligt og inden 4 uger efter modtagelsen. Forslaget skal ses på baggrund af direktivets artikel 12, litra b.

    Bestemmelsen i stk. 2 svarer i det væsentlige til, hvad der følger af lov om private registre § 15, stk. 2. Dog er det indføjet i bestemmelsen, at muligheden for at indbringe bureauets afgørelse for Datatilsynet også gælder, hvis den registrerede har fremsat begæring om blokering.

    Bureauets svar skal i de i stk. 2 nævnte tilfælde indeholde oplysning om adgangen til at indbringe spørgsmålet for Datatilsynet og om fristen herfor, jf. stk. 3. Bestemmelsen svarer til, hvad der følger af lov om private registre § 15, stk. 3.

Til kapitel 7

Overførsel af oplysninger til tredjelande

    I kapitlet reguleres spørgsmålet om dataansvarliges adgang til at foranstalte behandlede oplysninger overført til modtagere i tredjelande. Bestemmelserne, der på en række punkter er udtryk for nyskabelser i forhold til den nugældende registerlovgivning, har deres baggrund i direktivets artikel 25 og 26.

Til § 27

Til stk. 1

    I bestemmelsen er fastsat, at overførsel af oplysninger til myndigheder, virksomheder m.v. i tredjelande kan finde sted, hvis det pågældende land sikrer et tilstrækkeligt beskyttelsesniveau. Udtrykket overførsel omfatter »videregivelse« af oplysninger, hvorved forstås overførsel af oplysninger til enhver anden end den registrerede, den dataansvarlige, databehandleren og personer under den dataansvarliges og databehandlerens direkte myndighed. Udtrykket omfatter også »overladelse « af oplysninger, hvorved forstås overførsel af oplysninger til en databehandler eller personer under databehandlerens direkte myndighed. Endelig omfatter udtrykket den dataansvarliges interne anvendelse af oplysninger. Udtrykket »overførsel« er således en samlet betegnelse for videregivelse og overladelse/intern anvendelse af oplysninger. Der henvises i øvrigt til betænkningen, side 283 f.

    Med hensyn til hvad der skal forstås ved udtrykket tredjeland, henvises til § 3, nr. 9.

    I kravet om, at et tredjeland skal sikre et tilstrækkeligt beskyttelsesniveau, ligger, at overførslen af oplysninger ikke må medføre en væsentlig forringelse af den beskyttelse af den registrerede, som loven tilsigter at sikre. I det pågældende tredjeland skal behandlingen således i det væsentlige være undergivet en regulering som den, der følger af loven. Dette gælder dels for så vidt angår de materielle krav til behandling af oplysninger, herunder reglerne om den registreredes rettigheder, dels de formelle krav om bl.a. tilsyn og behandlingssikkerhed og muligheden for via domstolene at få kontrolleret overholdelsen af reglerne.

    Om det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, skal afgøres på grundlag af en vurdering af samtlige de forhold, der har indflydelse på en overførsel, jf. stk. 2. I den forbindelse bemærkes, at overførsler af de i § 7, stk. 1, og § 8 nævnte oplysninger, som finder sted efter bestemmelsen, ikke kan iværksættes, medmindre vedkommende tilsynsmyndighed forinden har afgivet udtalelse herom, jf. § 45, stk. 1, nr. 1, samt § 52, eller har givet tilladelse hertil, jf. § 50, stk. 1, nr. 1, samt § 50, stk. 2, jf. stk. 1.

Til stk. 2

    Af bestemmelsen følger, at vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, skal ske på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet. Opregningen af faktorer, som der kan lægges vægt på er ikke udtømmende, og der kan således være andre faktorer, som kan indgå i vurderingen af, om et tredjeland har et tilstrækkeligt beskyttelsesniveau.

    Det skal i den forbindelse fremhæves, at der ved vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, skal lægges afgørende vægt på oplysningernes art i de tilfælde, hvor der er tale om offentliggørelse af personoplysninger, herunder gennem Internettet. Om adgangen til uden samtykke at offentliggøre personoplysninger på Internettet henvises i øvrigt til det, som er anført i lovforslagets almindelige bemærkninger pkt. 4.2.4.3.

    I det omfang, det konstateres, at et tredjeland ikke har et tilstrækkeligt beskyttelsesniveau, skal Europa- Kommissionen samt de øvrige medlemsstater underrettes herom, jf. direktivets artikel 25, stk. 3. Det forudsættes, at en tilsynsmyndighed, som måtte være af den opfattelse, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau, underretter Justitsministeriet herom, således at Justitsministeriet i givet fald kan underrette Europa-Kommissionen og de øvrige medlemsstater herom. En underretning af Justitsministeriet kan også komme fra andre, f.eks. dataansvarlige myndigheder.

    Underretninger, som Danmark måtte modtage fra andre medlemsstater om, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal tillægges betydning ved vurderingen efter bestemmelsen. Hvis Europa-Kommissionen efter den i direktivets artikel 31, stk. 2, fastsatte procedure, konstaterer, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal en sådan afgørelse lægges til grund, jf. herved artikel 25, stk. 4. I givet fald kan overførsel til det pågældende tredjeland i medfør af bestemmelsen i stk. 1, ikke finde sted, og vedkommende tilsynsmyndighed skal skride ind over for en sådan overførsel. Også afgørelser fra Europa- Kommissionen om, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau skal lægges til grund, jf. artikel 25, stk. 6. Det forudsættes, at vedkommende tilsynsmyndighed i form af generelt informationsmateriale underretter de dataansvarlige om eventuelle afgørelser, som måtte blive truffet af Europa-Kommissionen.

Til stk. 3

    I bestemmelsen fastsættes, i hvilket omfang der vil kunne ske overførsel af oplysninger til et tredjeland, som ikke sikrer et tilstrækkeligt beskyttelsesniveau.

    Dette vil ifølge nr. 1 kunne ske, hvis den registrerede har givet udtrykkeligt samtykke hertil. Med hensyn til kravene til et sådant samtykke henvises til § 3, nr. 8. Heraf følger bl.a., at den registrerede som minimum skal oplyses om, hvilke typer af oplysninger der overføres, til hvilke formål og til hvilke tredjelande, dette sker. Herudover vil der skulle gives andre relevante oplysninger, som kan have betydning for den registreredes vurdering af risikoen ved overførslen. Med hensyn til betydningen af kravet om, at samtykket skal være udtrykkeligt, henvises til bemærkningerne til § 6, stk. 1, nr. 1.

    Efter nr. 2 kan der ske overførsel, når overførslen er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og tredjemand eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale.

    Desuden kan der efter nr. 3 ske overførsel af hensyn til indgåelsen eller udførelsen af en aftale, som den registrerede ikke er part i, såfremt aftalen er indgået i den registreredes interesse. Der kan f.eks. være tale om overførsel af oplysninger med henblik på at gennemføre betalingsoverførsler til eller fra et tredjeland, som enten aftales mellem den registrerede og den dataansvarlige, eller som blot er i den registreredes interesse.

    Efter nr. 4 kan der endvidere ske overførsel, såfremt det er nødvendigt eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse. Som eksempel på overførsel, som vil være omfattet af bestemmelsen, kan nævnes international udveksling af oplysninger mellem skatte- og toldmyndigheder eller mellem socialsikringsmyndigheder. Af bestemmelsen følger tillige, at overførsel af oplysninger kan ske, hvis dette er nødvendigt for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Udtrykket retskrav skal forstås på samme måde som i bestemmelsen i § 7, stk. 2, nr. 4.

    Efter nr. 5 kan overførsel endvidere ske, når dette er nødvendigt for at beskytte den registreredes vitale interesser. Bestemmelsen svarer til § 6, stk. 1, nr. 4.

    Herudover vil der efter nr. 6 kunne ske overførsel fra et register, som ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri. Dette gælder dog kun, hvis de i lovgivningen fastsatte betingelser for den offentlige tilgængelighed er opfyldt i det specifikke tilfælde. Adgangen til efter bestemmelsen at overføre oplysninger omfatter ikke alle oplysningerne eller hele kategorier af oplysninger i registeret. Der henvises herved til betragtning 58 i direktivets præambel.

    Endelig fremgår det af nr. 7 og 8, at der kan ske overførsel af oplysninger i forbindelse med strafferetlig forfølgning m.v. samt af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed. Bestemmelserne er indsat for at tydeliggøre, at den nødvendige behandling i de nævnte øjemed kan finde sted. Det bemærkes herved, at sådan behandling falder uden for direktivets område, jf. artikel 3, stk. 2, 1. pind, 2. led, og at bestemmelserne således er indsat uafhængigt af direktivets regulering.

Til stk. 4

    Af bestemmelsen følger, at vedkommende tilsynsmyndighed kan give tilladelse til, at der sker overførsel af oplysninger, selv om betingelserne i stk. 1 eller 3 ikke er opfyldt. Den dataansvarlige skal i så fald yde de fornødne garantier for beskyttelsen af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder. Sådanne garantier kan navnlig fremgå af passende kontraktbestemmelser, som medfører, at det beskyttelsesniveau, som loven tilsigter at sikre, ikke forringes væsentligt. Efter direktivets artikel 26, stk. 4, kan Kommissionen efter proceduren i direktivets artikel 31, stk. 2, fastslå, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier. Kontraktbestemmelser, som udarbejdes på baggrund af sådanne standarder, vil opfylde kravet i bestemmelsen om de fornødne garantier.

    Af bestemmelsen fremgår endvidere, at vedkommende tilsynsmyndighed skal underrette Kommissionen og de øvrige medlemsstater om tilladelser, som gives efter bestemmelsen. Denne forpligtelse bygger på direktivets artikel 26, stk. 3. Hvis der rejses berettiget tvivl omkring berettigelsen af en tilladelse, og Europa-Kommissionen i henhold til artikel 26, stk. 3, træffer afgørelse om, at der skal foretages passende foranstaltninger, skal sådanne afgørelser efterkommes. Vedkommende tilsynsmyndighed må derfor i givet fald tilbagekalde tilladelsen, jf. § 58, stk. 2, og § 68, stk. 1, med henvisningen til § 58, stk. 2.

Til stk. 5

    I bestemmelsen fastsættes det, at lovens almindelige regler finder anvendelse ved overførsel af oplysninger til tredjelande. Heri ligger bl.a., at der kun kan ske overførsel til et tredjeland, såfremt betingelserne i kapitel 4-6 for behandling af oplysninger er opfyldt.

Til kapitel 8

Oplysningspligt over for den registrerede

    I kapitlet fastsættes bestemmelser om, i hvilket omfang der påhviler den dataansvarlige en oplysningspligt i forhold til den registrerede.

    Bestemmelserne, der bygger på direktivets artikel 10, 11 og 13, er udtryk for en nyskabelse i forhold til den gældende registerlovgivning, hvorefter der ikke gælder en generel regel om den dataansvarliges oplysningspligt over for den registrerede. Princippet om obligatorisk underretning af den registrerede kendes dog på enkelte områder i registerlovgivningen, jf. bestemmelserne i § 10 i henholdsvis lov om offentlige myndigheders registre og lov om private registre. Specielt for så vidt angår kreditoplysningsbureauers oplysningspligt henvises til lovforslagets § 21.

Til § 28

Til stk. 1

    Bestemmelsen har til formål at sikre, at den registreredes beslutning om at afgive oplysninger om sig selv træffes på et pålideligt faktuelt grundlag med hensyn til en række forhold.

    Af bestemmelsen følger, at den dataansvarlige eller dennes repræsentant har pligt til af egen drift at give den registrerede meddelelse om en række forhold. Oplysningspligten gælder dog kun, hvis oplysningerne indsamles hos den registrerede selv. I givet fald indtræder pligten til at give oplysninger til den registrerede samtidig med selve indsamlingen. Den dataansvarlige er ikke forpligtet til at give en registreret person de nævnte oplysninger mere end én gang, jf. herved også stk. 2. Der gælder ikke noget krav om, at meddelelse efter bestemmelsen skal gives skriftligt. Den dataansvarlige skal dog i tilfælde af uenighed om, hvorvidt fornøden underretning er givet til den registrerede, kunne dokumentere, at dette er tilfældet. Underretning bør derfor gives skriftligt og på en tydelig måde.

    Det, der skal gives den registrerede meddelelse om, er for det første den dataansvarliges og dennes eventuelle repræsentants identitet, jf. nr. 1. Dette vil kunne opfyldes ved meddelelse om navn og adresse. Det vil ikke være tilstrækkeligt, at der alene gives den registrerede oplysning om, hvem der er repræsentant for den dataansvarlige.

    Endvidere skal der gives meddelelse om formålene med den behandling, hvortil oplysningerne er bestemt, jf. nr. 2. I kravet om formålsangivelse ligger, at der skal gives den registrerede tilstrækkelig information til, at den pågældende bliver klar over, hvad der er baggrunden for, at der indsamles oplysninger om den pågældende.

    Endelig skal der efter nr. 3 gives meddelelse om alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne indsamles, er nødvendige for, at den registrerede kan varetage sine interesser. Der vil bl.a. kunne blive tale om, at den registrerede skal gives meddelelse om kategorierne af modtagere af de indsamlede oplysninger, om det er obligatorisk eller frivilligt at besvare de stillede spørgsmål, om mulige følger af ikke at svare, samt vejledning om reglerne om indsigt i og berigtigelse af de oplysninger, der vedrører den registrerede, jf. litra a-c. Opregningen i litra a-c er ikke udtømmende. Der vil derfor efter omstændighederne kunne påhvile den dataansvarlige en pligt til at give den registrerede andre oplysninger.

Til stk. 2

    Undtagelse fra bestemmelsen i stk. 1 kan efter bestemmelsen gøres, hvis den registrerede allerede er bekendt med de i stk. 1, nr. 1-3, anførte oplysninger. I de tilfælde, hvor den dataansvarlige eller dennes repræsentant er i tvivl herom, forudsættes det, at der gives den registrerede meddelelse i overensstemmelse med stk. 1.

Til § 29

Til stk. 1

    Bestemmelsen omhandler den situation, at oplysninger ikke indsamles hos den registrerede selv. Det påhviler efter bestemmelsen den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelse af oplysningerne finder sted, at give den registrerede meddelelse om en række forhold. Den dataansvarlige eller dennes repræsentant har pligt til af egen drift at meddele den registrerede de omhandlede oplysninger. Den dataansvarlige er ikke forpligtet til at give en registreret person de i bestemmelsen nævnte oplysninger mere end én gang, jf. herved også stk. 2. Hvis den dataansvarlige løbende indsamler oplysninger om den registrerede, vil det således være tilstrækkeligt, at der gives underretning første gang, indsamlingen af oplysninger finder sted. En betingelse for at undlade at underrette den registrerede hver gang, der indsamles oplysninger, er dog, at den indsamling, som løbende finder sted, ikke går ud over rammerne for den meddelelse, som blev givet til den registrerede i forbindelse med den første indsamling af oplysninger.

    Det, der skal gives den registrerede meddelelse om, er den dataansvarliges og dennes eventuelle repræsentants identitet samt formålene med den behandling, hvortil oplysninger er indsamlet, jf. nr. 1 og 2. For så vidt angår det nærmere indhold af disse bestemmelser henvises til bemærkningerne til § 28, stk. 1, nr. 1 og 2.

    Der skal endvidere efter nr. 3 gives den registrerede alle yderligere oplysninger, der, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for, at den registrerede kan varetage sine interesser. Dette kan bl.a. være oplysninger om typen af oplysninger, som indsamles, om eventuelle kategorier af modtagere, samt vejledning om reglerne om indsigt i og berigtigelse af de indsamlede oplysninger, jf. litra a-c. Opregningen i litra a-c er ikke udtømmende. Der vil derfor efter omstændighederne kunne påhvile den dataansvarlige en pligt til at give den registrerede andre oplysninger. Der vil dog ikke være pligt til at give den registrerede oplysning om, hvilke konkrete oplysninger der er indsamlet om den pågældende. I de tilfælde, hvor yderligere oplysninger er nødvendige for, at den registrerede kan varetage sine interesser, jf. nr. 3, vil det således være tilstrækkeligt, at der gives den registrerede meddelelse om, hvilken type af oplysninger der er indsamlet. Hvis den registrerede herefter ønsker at få nærmere meddelelse om, hvilke konkrete oplysninger der er indsamlet om den pågældende, kan den registrerede anmode om indsigt efter reglerne i kapitel 9.

    Efter bestemmelsen indtræder den dataansvarliges oplysningspligt ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelse af oplysningerne finder sted. Kun i de tilfælde, hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, vil den dataansvarlige kunne vente med at opfylde oplysningspligten. Det må således på tidspunktet for indsamlingen være klart, at oplysningerne skal videregives til tredjemand. Det er endvidere en betingelse, at videregivelsen skal ske inden for en forholdsvis snæver periode. Oplysningspligten indtræder i givet fald, når videregivelsen til tredjemand første gang finder sted. Der gælder ikke noget krav om, at meddelelse skal gives skriftligt. Den dataansvarlige vil dog i tilfælde af uenighed om, hvorvidt fornøden underretning er givet til den registrerede, skulle kunne dokumentere, at dette er tilfældet. Underretning bør derfor gives skriftligt og på en tydelig måde.

Til stk. 2

    Bestemmelsen i stk. 1 om oplysningspligt gælder efter stk. 2 ikke, hvis den registrerede allerede er bekendt med de i stk. 1, nr. 1-3, nævnte oplysninger. Det vil ofte være vanskeligt for den dataansvarlige i praksis at afgøre, hvorvidt den registrerede allerede er bekendt med de yderligere oplysninger, som den dataansvarlige efter omstændighederne er forpligtet til at meddele i henhold til bestemmelsen i stk. 1, nr. 3. I de tilfælde hvor den dataansvarlige eller dennes repræsentant er i tvivl herom, forudsættes det, at der gives den registrerede meddelelse i overensstemmelse med stk. 1.

    Af bestemmelsen følger endvidere, at oplysningspligten i stk. 1 ikke gælder, hvis registreringen eller videregivelsen er udtrykkeligt fastsat ved lov eller bestemmelser fastsat i henhold til lov. Pligten eller retten til at registrere eller videregive oplysninger kan for det første følge af lov i formel forstand. Dette vil bl.a. være tilfældet for så vidt angår reglerne i arkivloven og lov om Danmarks Statistik. Endvidere vil pligten eller retten til at registrere eller videregive oplysninger kunne følge af administrative retsforskrifter såsom anordninger og bekendtgørelser. Det skal være udtrykkeligt fastsat, at der kan eller skal ske registrering eller videregivelse af oplysninger.

Til stk. 3

    Efter bestemmelsen gælder oplysningspligten i stk. 1 heller ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssig vanskelig. Med udtrykket uforholdsmæssig vanskelig fastsættes det, at der gælder et proportionalitetsprincip ved vurderingen af, om meddelelse, som foreskrevet i stk. 1, skal gives. Der skal ske en afvejning af på den ene side betydningen af en sådan underretning for den registrerede, og på den anden side den arbejdsindsats hos den dataansvarlige, der vil være forbundet med en sådan underretning. I hvilket omfang, underretning af registrerede personer er uforholdsmæssig vanskelig eller endog umulig, skal afgøres i den enkelte situation. Der skal i den forbindelse bl.a. lægges vægt på antallet af registrerede, oplysningernes alder, samt de kompensatoriske foranstaltninger, f.eks. offentlige oplysningskampagner, der eventuelt måtte blive truffet af den dataansvarlige. Endvidere må det tillægges betydning, hvor betydelige de interesser er, af hensyn til hvilke oplysningerne behandles, og hvor indgribende det er for den enkelte, at der foretages behandling af oplysninger om vedkommende.

    Det kan bl.a. nævnes, at det ud fra en proportionalitetsbetragtning normalt vil være uforholdsmæssigt vanskeligt for f.eks. dataansvarlige domstole at underrette bipersoner (personer, som kun er bipersoner i behandlingen) om, at der indsamles oplysninger om dem i forbindelse med behandlingen af en civil retssag.

    Det forudsættes endvidere, at der efter bestemmelsen kun i særdeles begrænset omfang vil påhvile dataansvarlige, der foretager behandling af oplysninger i statistisk øjemed eller til historiske eller videnskabelige forskningsformål, en oplysningspligt over for de registrerede personer. Det samme forudsættes med hensyn til den behandling af oplysninger, som sker i retsinformationssystemer. Der henvises til betænkningen, side 298-300.

Til § 30

    I bestemmelsen er fastsat regler om, i hvilket omfang den dataansvarlige kan gøre undtagelse fra den oplysningspligt, som følger af § 28, stk. 1, og § 29, stk. 1. Bestemmelsen har kun betydning, hvis underretning af den registrerede ikke kan undlades efter undtagelsesbestemmelserne i § 28, stk. 2, og § 29, stk. 2 og 3.

    Efter bestemmelsen i stk. 1 kan undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

    Indskrænkningen i den dataansvarliges eller dennes repræsentants oplysningspligt kan kun ske på baggrund af en konkret afvejning af de modstående interesser, som er nævnt i bestemmelsen. Afvejningen må foretages for hver enkelt oplysning for sig med den virkning, at der, såfremt sådanne hensyn kun gør sig gældende for en del af de i § 28, stk. 1, og § 29, stk. 1, nævnte oplysninger, skal gives den registrerede meddelelse om de øvrige oplysninger.

    I afvejningen indgår som nævnt på den ene side den registreredes interesse i at få kendskab til de i § 28, stk. 1, og § 29, stk. 1, nævnte oplysninger. Heroverfor står hensynet til private interesser, herunder til den pågældende selv. De private interesser, som kan beskyttes efter bestemmelsen, er såvel den dataansvarliges som tredjemands interesser. Som private interesser, der bl.a. vil kunne begrunde hemmeligholdelse, kan nævnes forretningshemmeligheder, den professionelle tavshedspligt, som læger og advokater skal iagttage, retten til at forberede sit eget forsvar i retssager samt beskyttelse af menneskerettighederne. Der henvises herved til betænkningen, side 302 f. Med anvendelsen af udtrykket »afgørende« er det tilkendegivet, at undtagelse fra oplysningspligten kun kan gøres, hvor der er nærliggende fare for, at privates interesser vil lide skade af væsentlig betydning.

    Efter bestemmelsen i stk. 2 kan undtagelse fra bestemmelserne i §§ 28, stk. 1, og 29, stk. 1, tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig hensynet til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv, væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og kontrol-, tilsyns-, eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder, jf. nærmere reglerne i nr. 1-6.

    Bestemmelsen fastsætter - ligesom bestemmelsen i stk. 1 - at indskrænkning i den dataansvarliges eller dennes repræsentants oplysningspligt kun kan ske på grundlag af en konkret afvejning af de modstående interesser, som er nævnt i bestemmelsen. På baggrund af en sådan afvejning vil undtagelse kunne gøres, hvis der er nærliggende fare for, at det offentliges interesser vil lide skade af væsentlig betydning.

Til kapitel 9

Den registreredes indsigtsret

    I den gældende registerlovgivning er fastsat generelle regler om registerindsigt, jf. herved lov om offentlige myndigheders registre kapitel 4 (§§ 13-15) og lov om private registre kapitel 2 a (§§ 7 a-e). Specielt for så vidt angår registreredes ret til indsigt hos kreditoplysningsbureauer henvises til lov om private registre § 11. Det bemærkes, at særlige regler om registrerede personers ret til indsigt hos kreditoplysningsbureauer ligeledes er indsat i lovforslagets kapitel 6 (§ 22). Der henvises nærmere til bemærkningerne til denne bestemmelse.

    Også i direktivets artikel 12, litra a, der skal ses i sammenhæng med artikel 13, er der fastsat bestemmelser om den registreredes indsigtsret. For at sikre en korrekt implementering af disse artikler foreslås det, at der dels foretages visse ændringer i de gældende regler om registerindsigt, dels indsættes nye bestemmelser om indsigtsret.

Til § 31

Til stk. 1

    I bestemmelsens 1. pkt. fastsættes det, at en person, der fremsætter begæring herom, skal have meddelelse fra den dataansvarlige om, hvorvidt der behandles oplysninger om den pågældende. Bestemmelsen svarer til, hvad der i Registertilsynets praksis er antaget at følge af den gældende registerlovgivning, jf. f.eks. Registertilsynets årsberetning 1989, side 42.

    Hvis der behandles oplysninger om den begærende, skal der på en let forståelig måde gives den pågældende meddelelse om en række forhold, jf. bestemmelsens 2. pkt., nr. 1-4. Efter nr. 1 skal der gives den registrerede meddelelse om, hvilke oplysninger om den pågældende der behandles. De oplysninger, der efter bestemmelsen skal meddeles den registrerede, er de oplysninger, der behandles på tidspunktet for begæringen, samt oplysninger der er kommet til i perioden frem til at begæringen ekspederes. Den registrerede har således ikke krav på at få oplyst, hvilke oplysninger der tidligere har været undergivet behandling. Bestemmelsen er dog naturligvis ikke til hinder for, at sådanne ældre oplysninger meddeles. Endvidere skal der efter nr. 2 gives meddelelse om behandlingens formål. Heri ligger ikke en forpligtelse for den dataansvarlige til at meddele, hvad oplysningerne nøjagtigt vil skulle bruges til. En generel angivelse af, hvad formålet med behandlingen er, vil være tilstrækkeligt. For så vidt angår den nærmere rækkevidde af kravet om formålsangivelse henvises til bemærkningerne til § 28, stk. 1, nr. 2. Herudover skal der gives meddelelse om kategorierne af modtagere af oplysningerne, jf. nr. 3. Endelig skal der gives den registrerede tilgængelig information om, hvorfra de oplysninger, der behandles, stammer, jf. nr. 4. Denne pligt gælder således kun, hvis der foreligger oplysning herom. Der påhviler ikke den dataansvarlige at tilvejebringe og opbevare sådanne oplysninger.

    Der stilles ikke særlige formkrav til begæringen. Den kan således fremsættes mundtligt såvel som skriftligt. Begæringen skal rettes til den dataansvarlige eller dennes repræsentant. Såfremt en registreret person er i tvivl om, hvem der er ansvarlig for de pågældende behandlinger, vil den pågældende eventuelt kunne rette henvendelse herom til vedkommende tilsynsmyndighed.

Til stk. 2

    Af bestemmelsens 1. pkt. følger, at den dataansvarlige snarest skal besvare begæringer som nævnt i stk. 1. Den tid, der vil hengå med at ekspedere en anmodning om indsigt, vil kunne variere afhængig af, hvilken form for behandling der er tale om. I mange tilfælde vil den dataansvarlige først kunne meddele indsigt, når oplysningerne er rekvireret hos en databehandler. Ekspeditionstidens længde vil endvidere være afhængig af den tekniske indretning af det system, hvori oplysningerne behandles. Der er derfor ikke fastsat nogen absolut frist. I stedet er der i bestemmelsens 2. pkt. indsat en regel, hvorefter en dataansvarlig, hvis det undtagelsesvis tager længere tid end 4 uger at behandle en begæring om indsigt, skal underrette den registrerede herom. Underretningen af den registrerede skal indeholde oplysninger om grunden til, at der ikke kan træffes afgørelse inden for 4 ugers fristen, samt om, hvornår en afgørelse vil foreligge.

Til § 32

Til stk. 1

    I bestemmelsen fastsættes det, i hvilket omfang den dataansvarlige kan undlade at give den registrerede ret til indsigt. Af bestemmelsen følger, at den registrerede ikke har krav på indsigt, hvis vedkommendes interesse i at få kendskab til oplysninger findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv, jf. henvisningen til § 30, stk. 1. Efter en konkret vurdering vil det være muligt at nægte indsigt i oplysninger, hvis dette vil medføre, at virksomhedens forretningsgrundlag, forretningspraksis eller know-how derved vil lide væsentlig skade. Det vil endvidere efter en konkret vurdering være muligt at nægte indsigt i interne vurderinger af, hvorvidt virksomheden på basis af foreliggende oplysninger vil indgå et kontraktforhold, ændre et bestående kontraktforhold, stille særlige vilkår for fortsættelse, eventuelt helt opsige et kontraktforhold og lignende tilfælde. På samme måde vil det efter omstændighederne være muligt at nægte indsigt i f.eks. et notat, der vurderer, hvorvidt der er udsigt til, at en bestemt retssag mod en kunde kan vindes, eller et internt notat i en sag, der påpeger mulige tegn på, at en kunde har forsøgt at udøve forsikringssvig over for et forsikringsselskab eller forsøgt at unddrage sig forpligtelsen i medfør af f.eks. en lånekontrakt.

    Undtagelse kan endvidere gøres af hensyn til offentlige interesser, herunder navnlig til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv, væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og kontrol-, tilsyns-, eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder, jf. henvisningen til § 30, stk. 2.

    Indskrænkningen i den registreredes adgang til at blive gjort bekendt med de i § 31, stk. 1, nævnte oplysninger, kan efter bestemmelsen kun ske på grundlag af en konkret afvejning af de modstående interesser. I afvejningen indgår som nævnt på den ene side den registreredes interesse i at få kendskab til oplysningerne. Hermed sigtes ikke blot til den registreredes interesse i kendskab til oplysningerne i forbindelse med overvejelser om indbringelse af en sag, hvori de indsamlede oplysninger indgår, for domstolene, højere administrativ myndighed, vedkommende tilsynsmyndighed eller Folketingets Ombudsmand, men også til den registreredes interesse i at kunne kontrollere oplysningernes rigtighed med henblik på den dataansvarliges anvendelse af oplysningerne. På den anden side indgår i afvejningen afgørende hensyn til private interesser, herunder hensynet til den pågældende selv, samt hensynet til offentlige interesser. De private og offentlige interesser, som kan beskyttes efter bestemmelsen, er såvel den dataansvarliges som tredjemands interesser. Det bemærkes, at indsigt kun kan nægtes, hvis der er nærliggende fare for, at privates eller det offentliges interesser vil lide skade af væsentlig betydning, jf. herved også bemærkningerne til bestemmelserne i § 30, stk. 1 og 2, hvori er indsat udtrykket »afgørende«.

    Selve afvejningen af de modstående interesser må foretages for hver enkelt oplysning for sig med den virkning, at den registrerede, såfremt afgørende hensyn til private eller offentlige interesser kun gør sig gældende for en del af de oplysninger, som behandles hos den dataansvarlige, skal gøres bekendt med de øvrige oplysninger. Der er ikke efter bestemmelsen adgang til generelt at undtage bestemte former for behandling af oplysninger fra indsigtsretten.

    Specielt for så vidt angår særlige tavshedspligtsbestemmelser, der bygger på en række EF-direktiver, f.eks. vedrørende finansielt tilsyn, henvises til betænkningen, side 309.

Til stk. 2

    I bestemmelsen er fastsat, at oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages i samme omfang fra indsigtsretten som efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og 14.

    Bestemmelsen er indsat for at sikre, at forvaltningsmyndigheders behandling af oplysninger kan undtages fra den registreredes ret til indsigt i samme udstrækning som efter offentlighedslovens regler om egenacces, jf. lovens § 4, stk. 2.

    Om baggrunden herfor henvises til betænkningen, side 160-164.

    Det forudsættes, at bestemmelsen også kan anvendes på myndigheder, som ikke er undergivet offentlighedsloven, når disse myndigheder udfører administrativ sagsbehandling. Bestemmelsen omfatter således også f.eks. Post Danmark.

    Det forudsættes endvidere, at bestemmelsen også kan anvendes på Procesbevillingsnævnet, uanset at dette er et uafhængigt nævn, der virker i nær tilknytning til domstolssystemet.

Til stk. 3

    Af bestemmelsens 1. pkt. følger, at der ikke er ret til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne indgår i tekst, som ikke foreligger i endelig form. Dette gælder dog ikke, hvis oplysningerne er videregivet til en tredjemand, jf. 2. pkt.

    Udtrykket oplysningerne indgår i tekst, som ikke foreligger i endelig form tager sigte på den situation, at de oplysninger, som der begæres indsigt i, er under bearbejdning i form af, at oplysningerne indgår i et udkast m.v. Dette vil bl.a. kunne være et udkast til dom eller kendelse. Også udkast til retsbog og lignende vil være omfattet af udtrykket. Det bemærkes i den forbindelse, at domme først vil foreligge i endelig form, når de er afsagt i et offentligt retsmøde. Også oplysninger i tekst, der er under udarbejdelse i forbindelse med domstolenes udøvelse af administrativ virksomhed, vil kunne undtages fra indsigtsretten. Dette gælder dog som nævnt ikke, hvis oplysningerne er videregivet til en tredjemand. For så vidt angår betydningen af begrebet tredjemand henvises til § 3, nr. 6. Det bemærkes, at der selvsagt ikke efter § 32, stk. 3, vil være tale om videregivelse til tredjemand, når flere dommere deltager i en sags behandling og i den forbindelse forelægger hinanden udkast til domme m.v.

    Af bestemmelsens 3. pkt. følger, at registrerede personer ikke har ret til indsigt (egenacces) i oplysninger i voteringsprotokoller og andre referater af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for rådslagningen. Med bestemmelsen sikres det, at der ligesom efter den nuværende retstilstand ikke er ret til indsigt i domstolenes voteringsprotokoller og andet materiale, der afspejler rådslagningen i domstolenes civile sager. Efter bestemmelsen vil der heller ikke være ret til indsigt i det materiale, som udarbejdes alene med det formål at danne grundlag for selve rådslagningen, f.eks. de referater i skriftligt behandlede civile sager i Højesteret, som udarbejdes af en dommerfuldmægtig, og som danner grundlag for voteringen. Udtrykket »materiale udarbejdet af domstolene til brug for rådslagningen« omfatter derimod f.eks. ikke processkrifter i civile sager, idet disse ikke udarbejdes af domstolene. Uden for udtrykket falder endvidere retsbøger med vidneforklaringer m.v. Dette skyldes, at sådant materiale, der udarbejdes af domstolene, og som for så vidt anvendes i forbindelse med rådslagningen, ikke udarbejdes alene med henblik herpå.

    De begrænsninger i retten til indsigt, som følger af den foreslåede bestemmelse, gælder, uanset om der efter de herom gældende retningslinier gives tilladelse til tredjemand til at foretage gennemsyn af voteringsprotokoller m.v. til brug for det praktiske retsliv eller faglitterær virksomhed.

    Det bemærkes, at lovforslagets regler om den registreredes indsigtsret ikke finder anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område, jf. lovforslagets § 2, stk. 4, 1. pkt. Der er derfor ikke behov for at lade den foreslåede bestemmelse gælde for domstolenes behandling af straffesager.

    Med hensyn til rækkevidden af den registreredes ret til indsigt i behandlinger, der foretages for domstolene, henvises i øvrigt til betænkningen, side 312-314.

Til stk. 4

    Bestemmelsen fastsætter, at visse særlige typer af behandling af oplysninger ikke er undergivet den registreredes indsigtsret.

    Efter bestemmelsen er der ikke ret til indsigt i oplysninger, der udelukkende behandles med videnskabelig forskning for øje. Bestemmelsen er udtryk for en nyskabelse i forhold til den gældende regulering af offentlige forskningsprojekter, hvorimod reglen svarer til den gældende regulering af private forskningsprojekter.

    Også behandling af personoplysninger i statistisk øjemed er efter bestemmelsen undtaget fra retten til indsigt. En betingelse herfor er dog, at oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker. Bestemmelsen viderefører den gældende retstilstand.

    Om baggrunden for de foreslåede regler henvises til betænkningen, side 315-317 og 485 f.

Til stk. 5

    Efter bestemmelsen kan justitsministeren for så vidt angår behandling af oplysninger på det strafferetlige område, der foretages for den offentlige forvaltning, fastsætte undtagelser fra retten til indsigt, hvis de hensyn, der er nævnt i stk. 1, jf. § 30, stk. 1 og 2, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås. Bestemmelsen vil hermed være udtryk for en delvis videreførelse af den gældende bestemmelse i lov om offentlige myndigheders registre § 13, stk. 5, 2. pkt. Bestemmelsen vil bl.a. muliggøre, at politiets efterforsknings- og afgørelsesregistre i Det Centrale Kriminalregister fortsat vil kunne undtages fra den registreredes ret til indsigt.

Til § 33

    Af bestemmelsen følger, at en registreret person, der har fået meddelelse efter § 31, stk. 1, ikke har krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

    Den foreslåede bestemmelse svarer i det væsentlige til, hvad der følger af den gældende registerlovgivning, jf. herved reglerne i lov om offentlige myndigheders registre § 13, stk. 6, og lov om private registre § 7 a, stk. 3. Bestemmelsen er således alene udtryk for ændringer i den 12 måneders-regel, som fremgår af bestemmelsen i lov om private registre § 7 a, stk. 3.

    Om baggrunden for bestemmelsen henvises til betænkningen, side 306 og 486 f.

Til § 34

Til stk. 1

    I bestemmelsen foreskrives det, at indsigt efter § 31, stk. 1, som udgangspunkt skal gives skriftligt, hvis den registrerede anmoder herom. Kravet om skriftlighed indebærer, at oplysningerne skal fremtræde i en sådan form, at de kan læses umiddelbart og uden brug af tekniske hjælpemidler. I de tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse af indsigt ske i form af mundtlig underretning om indholdet af oplysningerne. Dette vil bl.a. kunne være tilfældet med hensyn til oplysninger om den registreredes helbredsforhold.

    Den foreslåede bestemmelse svarer til, hvad der er fastsat i den gældende registerlovgivning, jf. lov om offentlige myndigheders registre § 14 og lov om private registre § 7 b, stk. 2 og 3.

Til stk. 2

    I bestemmelsen er fastsat, at justitsministeren kan fastsætte regler om, at den registrerede skal betale for meddelelser, som gives skriftligt af private virksomheder m.v. Bestemmelsen er udtryk for en videreførelse af, hvad der gælder efter lov om private registre § 7 b, stk. 3.

    Ved lovens ikrafttræden er det hensigten at udstede en bekendtgørelse om betaling for private dataansvarliges skriftlige meddelelser om indsigt. Dette vil ske med udgangspunkt i bekendtgørelse nr. 123 af 11. marts 1988 om betaling for skriftlige meddelelser om indholdet af private edb-registre. Heri er bl.a. fastsat, at gebyret udgør 10 kr. for hver påbegyndt side. Betalingen kan dog ikke overstige 200 kr. I den private sektor vil der således også fremover kunne kræves et ekspeditionsgebyr for skriftlig meddelelse af indsigt.

Til kapitel 10

Øvrige rettigheder

    I kapitlet fastsættes bestemmelser, der hjemler den registrerede en række yderligere rettigheder end, dem der følger af reglerne i kapitel 8 og 9.

    I §§ 35, 36 og 39 fastsættes regler om den registreredes indsigelsesret. § 37 omhandler den registreredes krav på berigtigelse, sletning og blokering samt underretning af tredjemand herom. Bestemmelserne, der skal sikre en korrekt implementering af direktivets artikel 12, litra a, 3. pind, litra b og c, og artikel 14 og 15, er i det væsentlige udtryk for nyskabelser i forhold til den gældende registerlovgivning. Med bestemmelserne tillægges der således den registrerede en række nye rettigheder. Endelig er der i §§ 38 og 40 fastsat regler om tilbagekaldelse af samtykke og om den registreredes ret til at klage til vedkommende tilsynsmyndighed over behandlingen af oplysninger om den pågældende.

Til § 35

    Af bestemmelsens stk. 1 følger, at den registrerede til enhver tid over for den dataansvarlige kan gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. Bestemmelsen i stk. 1 regulerer ikke, hvornår den dataansvarlige skal efterkomme indsigelsen, idet dette spørgsmål må afgøres på baggrund af bestemmelsen i stk. 2.

    Af stk. 2 følger, at den dataansvarlige skal ophøre med at behandle oplysninger om den registrerede, hvis den registreredes indsigelse efter stk. 1 er berettiget.

    En indsigelse vil naturligvis være berettiget, hvis behandlingen ikke er lovlig. I sådanne tilfælde skal den dataansvarlige i øvrigt ophøre med behandlingen, uanset om der gøres indsigelse herimod, jf. § 5, stk. 4, 2. pkt.

    Bestemmelsen indebærer imidlertid også, at den datansvarlige hvis der gøres indsigelse efter omstændighederne skal ophøre med en behandling, som i øvrigt er lovlig.

    En indsigelse vil efter bestemmelsen være berettiget, hvis vægtige grunde, der vedrører den registreredes særlige situation, tager for, at indsigelsen skal imødekommes. Der skal således i almindelighed foretages en konkret vurdering i den enkelte situation. Den registrerede skal dog anføre tungtvejende grunde til støtte for, at behandling ikke må finde sted.

    I en række tilfælde forudsættes det, at indsigelsen ikke skal tages til følge. Det gælder bl.a. tilfælde, hvor behandlingen af oplysninger om den registrerede sker i statistisk eller videnskabeligt øjemed eller er foreskrevet i lovgivningen. Som eksempel herpå kan nævnes domstolenes behandling af oplysninger i forbindelse med udøvelse af judiciel virksomhed efter reglerne i retsplejeloven.

    Det er den dataansvarlige, som træffer afgørelse om berettigelsen af den registreredes indsigelse, og afgørelsen vil kunne indbringes for vedkommende tilsynsmyndighed, jf. § 40, § 58, stk. 1, og § 67.

    Det skal i den forbindelse bemærkes, at den indsigelsesret, der efter stk. 1 tilkommer den registrerede, har den virkning, at en forvaltningsmyndigheds beslutning om, hvorvidt indsigelsen skal imødekommes, har karakter af en »afgørelse« efter forvaltningsloven. Det indebærer, at den pågældende myndighed skal overholde forvaltningslovens regler om begrundelse, klagevejledning m.v.

Til § 36

    Efter bestemmelsen i lovforslagets § 6, stk. 2, må virksomheder ikke videregive oplysninger om forbrugere til andre virksomheder til brug ved markedsføring, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Videregivelsen kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og betingelserne i § 6, stk. 1, nr. 7, opfyldt, jf. lovforslagets § 6, stk. 3.

    I de tilfælde, hvor videregivelse efter reglerne i lovforslagets § 6, stk. 2-4, kan ske uden kundens samtykke, skal virksomheden (den dataansvarlige) iagttage proceduren i lovforslagets § 36.

    Det betyder, at virksomheden ikke må videregive oplysninger om en kunde til andre virksomheder med henblik på markedsføring, hvis kunden har gjort indsigelse herimod.

    Har kunden ikke gjort indsigelse direkte over for virksomheden, skal virksomheden - hver gang den ønsker at videregive kundeoplysninger til andre virksomheder brug ved markedsføring - tjekke i CPR, om kunden har frabedt sig henvendelser i markedsføringsøjemed. I bekræftende fald må oplysningerne ikke videregives til dette formål.

    For så vidt angår den kunde, der ikke i CPR har frabedt sig henvendelser i markedsføringsøjemed, skal virksomheden endvidere - inden oplysningerne videregives - give kunden tydelig og forståelig meddelelse om indsigelsesretten. Virksomheden skal i den forbindelse give kunden en nem adgang til inden for en frist på to uger at gøre indsigelse mod, at videregivelse finder sted. Videregivelse må ikke finde sted, før det er konstateret, at forbrugeren ikke har gjort indsigelse inden udløbet af fristen på 2 uger.

    Reglerne gælder også i den situation, hvor oplysningerne anvendes på vegne af en anden virksomhed med henblik på markedsføring.

Til stk. 1

    Efter bestemmelsen i stk. 1 har en forbruger ret til at gøre indsigelse mod, at oplysninger om den pågældende videregives til en anden virksomhed med henblik på markedsføring eller anvendes på vegne af en anden virksomhed i dette øjemed.

    Indsigelse kan rettes direkte til den dataansvarlige virksomhed eller foretages ved, at forbrugeren i CPR frabeder sig sig sådanne henvendelser, jf. herom bestemmelsens stk. 2.

    En forbruger kan fremsætte indsigelse direkte over for den dataansvarlige virksomhed på et hvilket som helst tidspunkt. Indsigelsen kan omfatte al videregivelse eller begrænses til videregivelse til bestemte andre virksomheder. Der er ingen formkrav til indsigelsen, og denne kan derfor fremsættes mundtligt såvel som skriftligt eller eventuelt via elektronisk post.

Til stk. 2

    Bestemmelsen beskriver den fremgangsmåde, som den dataansvarlige virksomhed skal følge for at sikre sig, at forbrugeren ikke har gjort indsigelse imod, at generelle kundeoplysninger om den pågældende videregives til en anden virksomhed med henblik på markedsføring. Fremgangsmåden skal også følges i tilfælde, hvor den dataansvarlige virksomhed ikke ønsker at videregive oplysningerne til en anden virksomhed, men derimod selv at anvende oplysningerne på vegne af en anden virksomhed med henblik på markedsføring.

    Efter bestemmelsens 1. pkt. skal den dataansvarlige virksomhed undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.

    Bestemmelsen i 2. pkt. foreskriver den fremgangsmåde, som den dataansvarlige virksomhed skal følge, hvis forbrugeren hverken direkte over for den dataansvarlige eller i CPR har gjort indsigelse mod, at oplysninger om den pågældende videregives til en anden virksomhed med henblik på markedsføring eller anvendes på vegne af en anden virksomhed i dette øjemed.

    Det fremgår af bestemmelsen, at den dataansvarlige virksomhed - inden oplysningerne videregives eller anvendes som nævnt i 1. pkt. - tydeligt og på en forståelig måde skal oplyse forbrugeren om retten til at gøre indsigelse. Det vil i den forbindelse ikke vil være tilstrækkeligt at beskrive retten at gøre indsigelse i de almindelige forretningsbetingelser, som måtte blive udleveret til den pågældende forbruger.

    Den dataansvarlige virksomhed skal give forbrugeren adgang til på en nem måde inden to uger at gøre sådan indsigelse. Det kan f.eks. ske ved, at virksomheden medsender en kupon, hvor der kan krydses »nej« til videregivelsen/anvendelsen. Virksomheden må naturligvis ikke videregive oplysningerne, inden fristen er udløbet.

Til stk. 3

    Bestemmelsen regulerer spørgsmålet om, hvilken procedure den dataansvarlige virksomhed skal følge, hvis virksomheden alene er bekendt med forbrugerens e-post adresse.

    Oplysninger om e-post adresser registreres ikke i CPR, og den dataansvarlige virksomhed vil derfor ikke i sådanne situationer kunne tjekke i CPR, om forbrugeren ved markering i CPR har frabedt sig henvendelser i markedsføringsøjemed, herunder gjort indsigelse mod, at oplysninger om den pågældende videregives til brug ved markedsføring. Bestemmelsen i stk. 3 fastsætter derfor, at dataansvarlige i stedet skal følge den procedure, der er fastlagt i stk. 2, 2.-4. pkt., over for alle de omhandlede forbrugere.

    Kravet om, at forbrugeren skal have en nem adgang til at modsætte sig videregivelsen (eller anvendelsen af oplysningerne på vegne af andre virksomheder) kan i sådanne situationer f.eks. opfyldes ved, at den dataansvarlige virksomheds elektroniske post til forbrugeren om indsigelsesretten forsynes med en nem adgang for forbrugeren til at "klikke nej" til videregivelsen/anvendelsen.

Til stk. 4

    Af bestemmelsen i stk. 4 følger, at henvendelse til forbrugeren efter stk. 2 og 3 skal ske i overensstemmelse med de foreslåede regler i markedsføringslovens § 6 a og regler udstedt i medfør af markedsføringslovens § 6 a, stk. 7.

    Disse regler vil bl.a. indeholde et forbud mod, at den dataansvarlige retter henvendelse til forbrugeren ved brug af telefax, medmindre den pågældende forudgående har anmodet om det. Det bemærkes herved, at et sådant forbud følger af såvel fjernsalgsdirektivet som ISDN-direktivet.

    Henvisningen i dette lovforslags § 36, stk. 4, til markedsføringslovens § 6 a vil derfor bl.a. betyde, at den dataansvarlige virksomhed kun må anvende telefax til at oplyse om indsigelsesretten, hvis forbrugeren forudgående har anmodet herom.

Til stk. 5

    Bestemmelsen i stk. 5 indeholder et forbud mod, at den dataansvarlige kræver betaling for at behandle en indsigelse. Forbudet gælder, uanset om indsigelsen fremsættes i forlængelse af den dataansvarliges orientering om indsigelsesretten eller på et senere tidspunkt.

Til § 37

Til stk. 1

    Bestemmelsen fastsætter, at den registrerede over for den dataansvarlige kan kræve, at oplysninger om den pågældende berigtiges, slettes eller blokeres, hvis oplysningerne viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov.

    En anmodning om berigtigelse, sletning eller blokering skal komme fra den registrerede eller dennes fuldmægtig. Anmodningen skal angå oplysninger om den registrerede selv. Den dataansvarlige er således ikke forpligtet til efter anmodning at foretage berigtigelse m.v. af oplysninger om andre personer. Dog vil det efter omstændighederne påhvile den dataansvarlige at undersøge rigtigheden af sådanne henvendelser, jf. § 5, stk. 4.

    Der gælder ikke noget formkrav til den registreredes anmodninger i henhold til bestemmelsen. Hvis anmodning fremsættes, påhviler det den dataansvarlige eller dennes repræsentant snarest muligt at tage stilling til, om begæringen kan imødekommes, og i givet fald at foretage berigtigelse, sletning eller blokering. Om oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lovgivningen, skal berigtiges, slettes eller blokeres, må afgøres ud fra de konkrete omstændigheder. I enkelte situationer kan det dog følge af bl.a. lovgivningen, at en bestemt korrigeringsmetode under nærmere angivne omstændigheder skal anvendes. Dette er eksempelvis tilfældet for så vidt angår reglen i retsplejelovens § 221 om, i hvilket omfang domstolene kan berigtige afgørelser. Det forudsættes, at sådanne særlige regler går forud for den foreslåede bestemmelse. Der gælder således ikke en pligt til at foretage berigtigelse, sletning eller blokering i de tilfælde, hvor andet - udfra særlige hensyn - er fastsat i lovgivningen i øvrigt. Det bemærkes, at en sådan ordning er forenelig med direktivets artikel 12, litra b, jf. herved udtrykket »efter omstændighederne«.

    De korrigeringsmetoder, som er indeholdt i bestemmelsen, svarer i det væsentlige til den gældende registerlovgivning, jf. herved lov om offentlige myndigheders registre § 11 og lov om private registre §§ 5 og 6. Korrigeringsmetoden blokering er dog udtryk for en nyskabelse. Blokering af oplysninger indebærer, at det fortsat er tilladt at opbevare indsamlede oplysninger, hvorimod det ikke er tilladt at behandle og bruge oplysninger, herunder navnlig videregive dem til tredjemand. Oplysninger, som er blokeret, skal derfor være forsynet med en sådan markering, at en bruger informeres om blokeringen. Det forhold, at behandlede oplysninger er blokeret, er ikke til hinder for, at dataansvarlige foretager den behandling af oplysninger, som er nødvendig for, at den dataansvarlige kan opfylde en oplysningspligt, som påhviler denne, f.eks. efter lovgivningen. Således vil den omstændighed, at oplysninger er blokeret, ikke være til hinder for, at en forvaltningsmyndighed i medfør af reglerne i forvaltningsloven og offentlighedsloven meddeler tredjemand aktindsigt i de blokerede oplysninger. I givet fald forudsættes det, at tredjemand informeres om, at der er tale om oplysninger, som er blokeret, og om, hvorfor dette er sket.

    Der henvises i øvrigt til betænkningen, side 320- 323.

Til stk. 2

    Efter bestemmelsen kan den registrerede kræve, at den dataansvarlige underretter den tredjemand, hvortil oplysningerne er videregivet om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til bestemmelsen i stk. 1.

    En anmodning om underretning af tredjemand skal komme fra den registrerede eller dennes fuldmægtig. Anmodningen, der kan fremsættes formløst, skal angå oplysninger om den registrerede selv. Den dataansvarlige er således ikke forpligtet til efter anmodning at foretage underretning af tredjemand, hvis der er tale om behandling af oplysninger om andre personer. Hvis anmodning fremsættes, påhviler det den dataansvarlige eller dennes repræsentant snarest muligt at tage stilling til, om begæringen kan imødekommes og i givet fald at underrette de tredjemænd, hvortil oplysninger om den registrerede er videregivet. Der gælder ikke formkrav til den dataansvarliges underretning. Derimod stilles der krav om, at det i underretningen angives, hvilken korrigeringsmetode den dataansvarlige har anvendt for at imødekomme en berettiget anmodning fra den registrerede, jf. stk. 1. Heri ligger endvidere, at der skal gives tredjemand underretning om anledningen til, at berigtigelse, sletning eller blokering har fundet sted. I de tilfælde, hvor der er sket en berigtigelse af f.eks. urigtige eller vildledende oplysninger, vil det oftest være nødvendigt, at underretningen omfatter såvel de tidligere afgivne, fejlagtige oplysninger som de nye, rigtige oplysninger. Hvis eksempelvis der er tale om, at de videregivne oplysninger er fejlagtige med hensyn til den oplysning, som modtageren anvender som søgenøgle, f.eks. navn eller personnummer, er det således nødvendigt, at også den oprindelige - fejlagtige - oplysning angives, hvorved modtageren af underretningen i praksis kan foretage berigtigelse m.v. af oplysningerne.

    Fra den foreslåede bestemmelse kan der gøres undtagelse, hvis underretning af de tredjemænd, hvortil oplysningerne er videregivet, er umulig eller uforholdsmæssigt vanskelig. Der henvises herom til bemærkningerne til § 29, stk. 3.

Til § 38

    Bestemmelsen indebærer, at den registrerede kan tilbagekalde et samtykke. Dette kan ske på hvilket som helst tidspunkt.

    Et samtykke kan ikke tilbagekaldes med »tilbagevirkende kraft«. Virkningen heraf vil derfor være, at den behandling af oplysninger, som den registrerede har meddelt sit samtykke til, normalt ikke må finde sted fremover. Det må afgøres ud fra en konkret vurdering, om oplysningerne i så fald skal slettes eller blokeres, jf. lovforslagets § 37 og bemærkningerne hertil. Spørgsmålet kan påklages til tilsynsmyndigheden (Datatilsynet).

Til § 39

    Bestemmelsen i stk. 1 fastsætter, at den registrerede kan gøre indsigelse mod, at den dataansvarlige foranstalter, at den pågældende undergives visse edb-behandlede individuelle afgørelser.

    Der skal være tale om afgørelser, der kan gøres gældende over for den registrerede, og som har konsekvenser for den pågældende. Den omstændighed, at der f.eks. udsendes materiale af oplysende karakter til en række personer, der står opført på en edb-liste, vil ikke udgøre en afgørelse i den foreslåede bestemmelses forstand. Der skal endvidere være tale om afgørelser, der alene er truffet på grundlag af en edb-behandling. Bestemmelsen omhandler dermed kun den situation, at der uden videre gøres brug af resultater, som et edb-system leverer. Edb må således efter bestemmelsen være en hjælp ved beslutningstagningen, hvorimod edb-behandling af oplysningerne ikke må udgøre det eneste grundlag for en beslutning, hvor den menneskelige vurdering bør spille ind. Som eksempel herpå kan anføres, at en arbejdsgiver ikke må afvise en jobansøger på grundlag af resultatet af en psykoteknisk prøve, der alene behandles på edb, eller på baggrund af lister, som er udarbejdet under anvendelse af vurderingsprogrammel, og som på grundlag af en personlighedstest af jobansøgerne indeholder en bedømmelse af de pågældende, herunder en opstilling af dem i rangorden. Endelig skal der være tale om edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold. Dette kan f.eks. være oplysninger om en persons erhvervsevne, kreditværdighed, pålidelighed, adfærd m.v. Omfattet af bestemmelsen er behandlinger, hvorved der gøres brug af variabler, der fastsætter en typisk personlighedsprofil. Den omstændighed, at en person f.eks. ikke kan hæve et ønsket beløb i en pengeautomat, fordi der ikke er dækning for beløbet, falder uden for bestemmelsen. Tilsvarende gælder for så vidt angår told- og skattemyndighedernes edb-automatiserede ligningsarbejde.

    I stk. 2 fastsættes undtagelser fra den registreredes indsigelsesret efter stk. 1. Indsigelsesretten gælder ikke, hvis den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser, jf. nr. 1. Passende foranstaltninger vil bl.a. kunne følge af en lov, af anmeldelsesprocedurerne eller af interne foranstaltninger truffet af den dataansvarlige. Hvis den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser, gælder indsigelsesretten heller ikke, jf. nr. 2.

    Efter bestemmelsen i stk. 3 har den registrerede ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en afgørelse som nævnt i stk. 1. En betingelse for, at den registrerede har ret til den i bestemmelsen angivne information, er, at der over for den pågældende er truffet en edb-baseret afgørelse, som omhandlet i stk. 1. I givet fald påhviler det den dataansvarlige at oplyse den registrerede om, hvorledes det edb-system, som har været anvendt til behandlingen af oplysningerne, er nået frem til afgørelsen. Den registreredes ret efter bestemmelsen fører dog ikke til, at den dataansvarlige er forpligtet til at udlevere oplysninger, som må anses for at være forretningshemmeligheder, eller som er beskyttet efter den immaterielle lovgivning, herunder ophavsretsloven, jf. henvisningen til § 30.

Til § 40

    Af bestemmelsen fremgår, at den registrerede kan klage til vedkommende tilsynsmyndighed over behandling af personoplysninger vedrørende den pågældende.

    Bestemmelsen har alene informativ karakter. Hvilken tilsynsmyndighed der er kompetent, og hvilke regler der gælder for dennes virksomhed, må afgøres efter bestemmelserne i lovens kapitel 16 og 17.

     

Til kapitel 11

Behandlingssikkerhed

    Lovens kapitel 11 indeholder bestemmelser, som tager sigte på at øge sikkerheden for, at oplysninger alene undergives behandling i overensstemmelse med den dataansvarliges (lovlige) intentioner herom.

    Bestemmelserne afløser reglerne i den gældende lov om offentlige myndigheders registre § 12 samt lov om private registre § 6, stk. 4.

Til § 41

Til stk. 1

    Bestemmelsens stk. 1 har sin baggrund i direktivets artikel 16. Der er ikke en tilsvarende bestemmelse i den gældende registerlovgivning. Efter bestemmelsen må en person, en virksomhed eller lignende, der udfører en behandling af oplysninger under den dataansvarlige, kun behandle de oplysninger, som vedkommende herigennem får adgang til, i overensstemmelse med instruks fra den dataansvarlige. Bestemmelsen gælder også for en eventuel databehandler. Der er ikke særlige formkrav til instrukserne. En instruks kan efter omstændighederne følge af en bestemt stillingsbetegnelse eller af det forhold, at den dataansvarlige autoriserer en ansat eller andre til at have adgang til bestemte oplysninger. Kravet om, at vedkommende person m.v. kun må behandle oplysninger i overensstemmelse med instruks fra den dataansvarlige, indebærer bl.a., at personen m.v. ikke må behandle oplysninger til andre formål end dem, som den dataansvarlige har fastsat - herunder til egne formål - samt at vedkommende ikke må behandle oplysninger efter instruks fra andre end den dataansvarlige. Dette gælder imidlertid ikke, hvis andet følger af lovgivningen.

Til stk. 2

    Af stk. 2 fremgår, at den i stk. 1 omtalte instruks ikke må begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt. Instruksen skal selvsagt også være lovlig efter de øvrige bestemmelser i denne lov og anden lovgivning.

Til stk. 3

    Bestemmelsens 1. pkt. fastsætter, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Disse overordnede krav til den dataansvarliges behandlingssikkerhed svarer til reglerne i lov om offentlige myndigheders registre § 12, stk. 1 og 2, og lov om private registre § 6, stk. 4, men er dog udvidet i overensstemmelse med direktivets artikel 17, stk. 1, 1. afsnit. Det forudsættes, at foranstaltningerne under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, vil tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes, jf. direktivets artikel 17, stk. 1, 2. afsnit.

    I øvrigt må det i overensstemmelse med direktivets præambel, betragtning 10, sikres, at gennemførelsen af direktivet ikke medfører en forringelse af den beskyttelse, som den eksisterende lovgivning yder.

    Iværksættelsen af de fornødne sikkerhedsforanstaltninger er særligt påkrævet, hvis behandlingen omfatter fremsendelser af oplysninger i et net, jf. herved direktivets artikel 17, stk. 1, 1. afsnit.

    Af bestemmelsens 2. pkt. følger, at pligten til at træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger tilsvarende gælder for databehandlere. Dette gælder, uanset om der er tale om en databehandler, der foretager behandling af oplysninger for en dataansvarlig, der er etableret i eller uden for Danmark, herunder i en anden medlemsstat. Hvis databehandleren udøver sin virksomhed på dansk område, gælder reglen om behandlingssikkerhed.

Til stk. 4

    Af bestemmelsen følger, at der med hensyn til oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Bestemmelsen, som svarer til, hvad der følger af lov om offentlige myndigheders registre § 12, stk. 3, omfatter behandlinger af oplysninger, som en besættelsesmagt eller en magt, der har erobret en del af landet, vil have særlig interesse i bl.a. for dermed hurtigt og effektivt at kunne overtage den almindelige administration. Derfor vil navnlig de større landsdækkende administrative systemer, som f.eks. Det Centrale Personregister (CPR) og centrale skattesystemer, være omfattet af bestemmelsen. Det samme gælder specialregistre, som kan benyttes til at finde frem til bestemte personer, som den fremmede magt - f.eks. på grund af de pågældendes særlige uddannelse - ønsker at disponere over. På samme måde vil en fremmed magt kunne have særlig interesse i at få adgang til edb-systemer m.v. med oplysninger om større lastmotorkøretøjer. Datatilsynet vil kunne henlede opmærksomheden på behovet for særlige foranstaltninger, hvis tilsynet bliver bekendt med, at en behandling som nævnt ovenfor finder sted.

    Reglen indebærer ikke, at de omtalte oplysninger nødvendigvis skal bortskaffes eller destrueres i tilfælde af krig eller lignende forhold. Bestemmelsen sikrer blot, at der lovligt vil kunne træffes beslutning om destruktion m.v., hvis det skulle vise sig nødvendigt. Det påhviler den dataansvarlige at træffe de foranstaltninger, som muliggør destruktion m.v.

Til stk. 5

    Reglen, hvorefter justitsministeren kan fastsætte nærmere regler om sikkerhedsforanstaltninger, findes ikke i den gældende lovgivning.

    Ved fastsættelsen af reglerne forudsættes det, at der foretages en afvejning af det aktuelle tekniske niveau og omkostningerne i forbindelse med iværksættelsen af sikkerhedsforanstaltningerne på den ene side, og de risici, som behandlingen indebærer, og arten af de oplysninger, der behandles, på den anden side, jf. ovenfor under bemærkningerne til stk. 1. Forinden fastsættelsen af reglerne skal der ske høring af de relevante myndigheder, organisationer m.v. samt eventuelle andre relevante organer, f.eks. IT-sikkerhedsrådet.

    Det er hensigten - ved lovens ikrafttræden - at udstede en bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning helt eller delvis ved hjælp af elektronisk databehandling. Det er endvidere hensigten at udstede en bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for domstolene helt eller delvis ved hjælp af elektronisk databehandling.

    Derimod er det ikke hensigten - ved lovens ikraftræden - at fastsætte nærmere regler om behandlingssikkerheden i den private sektor. For den private sektor vil det således være rammebestemmelsen i stk. 1, der gælder, indtil der eventuelt måtte blive udstedt en bekendtgørelse, der nærmere fastlægger kravene til sikkerhed. Tilsvarende vil gælde med hensyn til forvaltningsmyndigheders manuelle registre med personoplysninger.

    Den almindelige forpligtelse til at træffe de fornødne foranstaltninger efter stk. 1 gælder uanset udstedelsen af nærmere regler herom.

Til § 42

    Bestemmelsen i stk. 1 fastsætter, at en dataansvarlig, som overlader behandling af oplysninger til en databehandler, skal sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Den dataansvarlige skal påse, at dette sker. Bestemmelsen har sin baggrund i direktivets artikel 17, stk. 2. Såfremt der er tale om en databehandler i Danmark eller i et tredjeland, skal denne leve op til de sikkerhedskrav, som fremgår af lovens § 41, stk. 3 og 4, samt de nærmere regler, som fastsættes efter § 41, stk. 5. Hvis der er tale om en databehandler i en anden medlemsstat, skal databehandleren leve op til de sikkerhedskrav, som stilles i det pågældende land, jf. også § 42, stk. 2.

    Kravet i stk. 2 om, at gennemførelsen af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem, har sin baggrund i direktivets artikel 17, stk. 3 og 4.

Til kapitel 12-15

Anmeldelse

    Lovens kapitel 12-14 beskriver anmeldelsesordningen for behandlinger af oplysninger, som foretages for henholdsvis den offentlige forvaltning, private dataansvarlige og domstolene. Desuden indeholder kapitel 15 regler om offentlige og private databehandleres anmeldelsespligt med hensyn til elektronisk databehandling, der udføres for andre (edb-servicebureauer), samt generelle regler om offentlig tilgængelighed af behandlinger af oplysninger.

    Med hensyn til anmeldelsesordningerne er udgangspunktet, at alle behandlinger skal anmeldes forudgående til vedkommende tilsynsmyndighed. Desuden skal visse behandlinger tillige kontrolleres inden iværksættelsen. Kravet om kontrol kommer med hensyn til de offentlige myndigheder til udtryk i et krav om indhentning af forudgående udtalelse, mens der for private dataansvarlige foreslås etableret en tilladelsesordning. Mange typer af behandlinger, hvor det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes, er i loven fritaget for anmeldelse. Bestemmelserne har deres baggrund i direktivets artikel 18-20.

    Anmeldelsespligten påhviler den dataansvarlige og gælder, uanset om behandlingen foretages af en databehandler, f.eks. af et edb-servicebureau. Dog påhviler der også databehandlere, som foretager elektronisk behandling af oplysninger, der er omfattet af loven, en selvstændig anmeldelsespligt. En forudsætning herfor er, at databehandleren er etableret på dansk område.

    Anmeldelsesordningen har ingen betydning for spørgsmålet om de materielle betingelser for behandling af oplysninger. Disse fremgår af lovens afsnit II. I det hele taget gælder det, at undtagelse fra anmeldelse naturligvis ikke fritager de dataansvarlige fra forpligtelsen til at overholde lovens regler.

Til kapitel 12

Anmeldelse af behandlinger, som foretages for den offentlige forvaltning

    Bestemmelserne i kapitel 12 erstatter reglerne i lov om offentlige myndigheders registre kapitel 2 og 2 a om henholdsvis oprettelse af registre ved fastsættelse af registerforskrifter og undtagelse af visse registertyper fra forskriftskravet.

Til § 43

Til stk. 1

    Bestemmelsen angiver udgangspunktet, hvorefter behandlinger af oplysninger skal anmeldes til Datatilsynet. Bestemmelsen svarer til direktivets artikel 18, stk. 1, idet manuelle behandlinger, der er eller vil blive indeholdt i et register, dog er medtaget.

    Vedrørende den praktiske gennemførelse af selve indgivelsen af en anmeldelse henvises til § 63, stk. 1, samt bemærkningerne til denne bestemmelse.

    Anmeldelsen kan foretages af den dataansvarlige myndighed, dennes repræsentant, jf. § 4, stk. 4, en anden myndighed eller en privat part. Det forudsættes i den forbindelse, at den dataansvarlige stadig har det fulde ansvar for indholdet af anmeldelsen i forhold til Datatilsynet og offentligheden. Bemyndigelsesadgangen betyder bl.a., at flere myndigheder kan udpege en bestemt myndighed eller eventuelt en privat organisation eller lignende til at foretage anmeldelser på vegne af disse. Dette kan være særlig relevant, hvis der er tale om identiske behandlinger, som foretages for flere myndigheder, f.eks. behandlinger, som tidligere har været reguleret af de fælleskommunale forskrifter, jf. lov om offentlige myndigheders registre § 7. I disse situationer vil anmeldelserne for langt de fleste dataansvarliges behandlinger være enslydende.

    En anmeldelse kan omfatte en enkelt behandling eller en række behandlinger, hvis formål er identiske eller indbyrdes relaterede. Dette betyder, at flere behandlinger kan anmeldes på én gang. Der skal dog kunne formuleres et samlet, logisk sammenhængende formål med en behandling eller række af behandlinger, som anmeldes på én anmeldelse. Dette udelukker imidlertid ikke, at der vil kunne formuleres en række delformål, for så vidt disse har en indbyrdes sammenhæng, f.eks. samme reguleringsobjekt, samme opgaver eller samme lovgrundlag for behandlingen.

    Som eksempler på overordnede formålsangivelser kan på det kommunale område nævnes sygesikring, kontanthjælp, boligstøtte, tandpleje osv. Inden for det statslige område vil der også typisk skulle ske separat anmeldelse af de behandlinger, som foretages med henblik på løsningen af hver af de hovedopgaver, som henhører under den pågældende myndighed. Formålsbeskrivelserne vil i store træk kunne svare til de formålsparagraffer, som fremgår af de forskrifter, som efter den gældende lovgivning fastsættes for offentlige myndigheders registre.

    En anmeldelse vil kunne dække behandlinger, som fysisk foregår flere forskellige steder, eller som foretages både manuelt og ved hjælp af elektronisk databehandling. En anmeldelse vil også kunne dække forskellige funktioner - f.eks. journalisering, sagsbehandling og registrering med henblik på udbetaling - hvis blot disse funktioner tjener samme overordnede formål.

Til stk. 2

    Bestemmelsen har sin baggrund i direktivets artikel 19, stk. 1, der foreskriver, hvilke oplysninger anmeldelsen mindst skal indeholde. Herudover er tilføjet enkelte andre punkter, f.eks. at der skal anføres en betegnelse for behandlingen. Hermed menes en betegnelse, som kan benyttes til identifikation af behandlingen, f.eks. »ligningssystem«, »boligstøtte« eller lignende. Under nr. 3 skal indgå en beskrivelse af de typer af behandlinger, som foretages med henblik på varetagelsen af det angivne formål, f.eks. hvilken form for indsamling, registrering og anvendelse der rent praktisk finder sted. Herunder skal det anføres, om registrering sker ved hjælp af elektronisk databehandling eller manuelt, om der påtænkes truffet afgørelser, som alene træffes på grundlag af edb-behandling af oplysninger, jf. § 39, samt om der vil blive foretaget samkøring i kontroløjemed, jf. § 45, stk. 1, nr. 4. Vedrørende bestemmelsen i § 43, stk. 2, nr. 5, bemærkes, at det forudsættes, at der altid vil kunne ske overførsel af oplysninger i overensstemmelse med lovens kapitel 4. Der skal på anmeldelsen alene anføres de overførsler til tredjemænd eller andre modtagere, som må forudses at skulle ske på regelmæssig basis, og som derfor er karakteristiske for den pågældende behandling. Endvidere skal myndigheden angive tidspunktet for påbegyndelsen af behandlingen, jf. nr. 8. Endelig skal det efter bestemmelsen i nr. 9 angives, hvornår den dataansvarlige myndighed vil slette oplysningerne, jf. § 5, stk. 5.

    Datatilsynet vil altid i medfør af § 62, stk. 1, kunne indhente yderligere oplysninger, hvis det findes nødvendigt for behandlingen af anmeldelsen eller for en forudgående kontrol i forbindelse med afgivelsen af en udtalelse.

Til § 44

Til stk. 1

    Bestemmelsen har sin baggrund i direktivets artikel 18, stk. 2. De behandlinger af personoplysninger, der som udgangspunkt undtages efter bestemmelsen, svarer til de typer af registre, der i dag omfattes af lov om offentlige myndigheders registre §§ 8 a og 8 b om undtagelse af visse registertyper fra kravet om forskriftsfastsættelse.

    Begrebet »fortrolig« skal - ligesom i dag - forstås i overensstemmelse med straffelovens § 152 sammenholdt med forvaltningslovens §§ 27 og 28.

    Efter 2. pkt. vil der i de af 1. pkt. omfattede behandlinger også kunne indgå nærmere angivne oplysninger (identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed), uanset disse er af fortrolig karakter, uden at der på den baggrund vil skulle foretages anmeldelse. Dog skal der ske anmeldelse, hvis behandlingen af oplysninger om betaling til og fra en offentlig myndighed dækker over oplysninger, som er af en sådan karakter, at tilsynets udtalelse skal indhentes inden iværksættelse, jf. § 45.

Til stk. 2

    Af bestemmelsen følger, at justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger. Bestemmelsen skal ses på baggrund af direktivets artikel 18, stk. 2, hvorefter medlemsstaterne for de typer af behandlinger, som undtages fra anmeldelsespligten, anfører, hvad der er formålet med behandlingerne, hvilke oplysninger eller typer af oplysninger der behandles, hvilke registrerede eller typer af registrerede der er tale om, til hvilke modtagere eller kategorier af modtagere oplysningerne videregives, samt hvor længe oplysningerne opbevares.

Til stk. 3

    Bestemmelsen fastsætter, at registre, der i henhold til lovgivningen er beregnet til at informere offentligheden, og som er tilgængelige for offentligheden, ligeledes er undtaget fra anmeldelsespligten efter § 43. Bestemmelsen, der har sin baggrund i direktivets artikel 18, stk. 3, kan f.eks. benyttes i relation til Det Centrale Virksomhedsregister (p.t. Erhvervsregisteret) og til den offentligt tilgængelige del af Erhvervs- og Selskabsstyrelsens edb-register.

Til stk. 4

    Bemyndigelsesbestemmelsen svarer til den nuværende regel i lov om offentlige myndigheders registre § 8 e. Efter bestemmelsen kan der fastsættes undtagelser fra anmeldelseskravet for så vidt angår typer af behandlinger, for hvilke det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder krænkes, jf. direktivets artikel 18, stk. 2. Ved vurderingen heraf forudsættes Datatilsynets (tidligere Registertilsynet) hidtidige erfaringer inddraget, herunder erfaringerne med de undtagelser, som følger af bekendtgørelse nr. 872 af 17. december 1991 om undtagelse af visse typer af offentlige edb-registre fra forskriftskrav m.v.

    Der vil efter bestemmelsens 2. pkt. ikke være mulighed for at undtage de typer af behandlinger, som skal kontrolleres inden iværksættelsen, jf. § 45, stk. 1.

Til § 45

    Bestemmelsen i stk. 1 indeholder en opregning af en række behandlinger af oplysninger, der på grund af deres art, omfang og formål indebærer særlige risici for personers rettigheder eller frihedsrettigheder, jf. direktivets artikel 20, stk. 1. Det forudsættes derfor, at Datatilsynet med hensyn til disse former for behandlinger foretager den fornødne kontrol af behandlingen, inden udtalelsen afgives. Kravet om forudgående udtalelse svarer til den nuværende udtalelseskompetence i forbindelse med fastsættelse af registerforskrifter, jf. herved lov om offentlige myndigheders registre § 5, stk. 1, og § 6, stk. 3. Der er ikke tale om en egentlig afgørelseskompetence som efter lovforslagets § 47. Opretholdelsen af kravet om forudgående udtalelse skal bl.a. ses i lyset af direktivets artikel 28, stk. 3, 2. pind. Kravet om forudgående udtalelse i forbindelse med behandlinger, der udelukkende finder sted i videnskabeligt eller statistisk øjemed eller med henblik på at føre et retsinformationssystem, skal dog tillige ses på baggrund at de særligt lempelige regler, der på en række områder foreslås for disse behandlinger, jf. §§ 9, stk. 1, 10, stk. 1, 32, stk. 4, og 35, stk. 2, hvortil kommer, at kravet om forudgående udtalelse bidrager til at tilvejebringe den størst mulige sikkerhed omkring disse behandlinger, som ofte omfatter meget store mængder af personoplysninger, der kan opbevares i en lang periode, jf. § 5, stk. 5.

    Særligt i relation til reglen i nr. 4 bemærkes det, at der med sammenstilling eller samkøring i kontroløjemed sigtes til kontrol, som foretages såvel før som efter, der er truffet en afgørelse over for en person. Ved at stille krav om forudgående kontrol ved samkøring i kontroløjemed gives der Datatilsynet lejlighed til at sikre sig, at den pågældende myndighed har et klart og utvetydigt hjemmelsgrundlag at arbejde på.

    Der er i stk. 2 indsat en hjemmel for justitsministeren til at fastsætte regler om, at der forinden iværksættelsen af andre end de i stk. 1 nævnte behandlinger skal indhentes en udtalelse. Også i forbindelse med denne bestemmelse forudsættes det, at de erfaringer, Datatilsynet (tidligere Registertilsynet) har med hensyn til typer af behandlinger, som indebærer særlige risici, inddrages. Bestemmelsen vil f.eks. kunne tænkes anvendt i tilfælde, hvor behandlingen har til formål at udelukke den registrerede fra at udøve en ret, modtage en ydelse eller opnå en kontrakt, eller i tilfælde, hvor der anvendes ny teknologi, der indebærer særlige risici for registrerede personer, jf. herved direktivets betragtning 53.

Til § 46

    Bestemmelserne er indsat på baggrund af direktivets artikel 19, stk. 2.

    Bestemmelsen i stk. 1 indebærer, at der ikke skal ske fornyet fuldstændig anmeldelse, hvis der sker ændringer i de forhold, som er beskrevet i den oprindelige anmeldelse. Kun ændringen skal anmeldes til Datatilsynet. Som udgangspunkt skal ændringer anmeldes inden iværksættelsen. Hvis der er tale om ændringer af mindre væsentlig betydning, kan der gives meddelelse efterfølgende. Hermed menes ændringer som f.eks. ændring i form af, at behandlingen foretages af en (ny) databehandler, indførelse af nye sletterutiner eller ændring af typer af oplysninger, såfremt ændringen ikke indebærer, at der behandles oplysninger som nævnt i § 7, stk. 1, eller § 8. Ændringer som indebærer, at formålet med behandlingen ændres, skal altid anmeldes forudgående. Det samme gælder nye påtænkte overførsler af oplysninger til tredjelande.

    

Stk. 2 gælder for de behandlinger, som ikke må iværksættes, før Datatilsynets udtalelse er indhentet. Tilsynets udtalelse skal indhentes inden iværksættelsen af ændringerne, idet der dog i stedet kan ske efterfølgende anmeldelse, såfremt der er tale om ændringer af mindre væsentlig betydning.

Til § 47

    Bestemmelserne i stk. 1 og 2 omhandler de tilfælde, hvor Datatilsynet ikke kan tiltræde udførelsen af en behandling, som udføres for henholdsvis en underordnet myndighed og en kommunal myndighed. I disse tilfælde kan sagen for så vidt angår behandlinger, der udføres for en underordnet myndighed, forelægges for vedkommende minister, og med hensyn til behandlinger, der udføres for en kommunal myndighed, indenrigsministeren. Bestemmelserne svarer til, hvad der følger af bestemmelserne i lov om offentlige myndigheders registre § 5, stk. 2, § 6, stk. 3, 2. pkt, og § 27, sidste pkt. Omfattet af udtrykket kommunal myndighed er ikke blot primærkommuner og amtskommuner, men også kommunale fællesskaber, der er godkendt i henhold til § 60 i den kommunale styrelseslov.

    Bestemmelserne skal ses i sammenhæng med de beføjelser, som Datatilsynet efter forslaget tillægges over for offentlige myndigheder. Lovforslaget bygger på en forudsætning om, at tilsynet som udgangspunkt alene har en udtalelsesret. Forelæggelsen kan foretages af såvel myndigheden som tilsynet. Det bemærkes, at proceduren vil kunne anvendes i en hvilken som helst situation, hvor der er uenighed om udførelsen af en behandling, uanset om behandlingen skal forelægges Datatilsynet eller ej. Der henvises til lovforslagets almindelige bemærkninger pkt. 4.2.8.2. (pkt. A) og betænkningen, side 352.

    Bestemmelsen i stk. 1 vil ikke være til hinder for, at vedkommende minister inddrages i de tilfælde, hvor en statslig myndighed ikke står i et underordnelsesforhold til den pågældende minister. I sådanne tilfælde er der efter bestemmelsen i stk. 1 blot ikke nogen pligt hertil.

Til kapitel 13

Anmeldelse af behandlinger, som foretages for en privat dataansvarlig

Til § 48

    Bestemmelsen i stk. 1 fastsætter, at der som udgangspunkt skal foretages anmeldelse af alle behandlinger, som foretages for private dataansvarlige. Bestemmelsen har sin baggrund i direktivets artikel 18, stk. 1. Anmeldelsen kan foretages af den dataansvarlige eller af dennes repræsentant. Herudover vil en dataansvarlig eller en repræsentant kunne give andre fuldmagt til at foretage anmeldelse på deres vegne.

    Efter stk. 2 skal anmeldelsen indeholde de samme oplysninger som anmeldelser af behandlinger, som foretages for den offentlige forvaltning. Ligesom i den offentlige forvaltning skal der angives et formål med behandlingerne, og der skal ske separat anmeldelse af hver behandling eller række af behandlinger, for hvilke der kan angives ét samlet, overordnet formål, som f.eks. behandling med henblik på udførelsen af en bestemt opgave, som den private dataansvarlige forestår. Der henvises i øvrigt til bemærkningerne til § 43, stk. 2.

Til § 49

    Bestemmelsen i stk. 1 har sin baggrund i direktivets artikel 18, stk. 2. De behandlinger, som undtages fra anmeldelseskravet, er bl.a. de typer af registrering, som i dag er undtaget i henhold til bekendtgørelse nr. 121 af 11. marts 1988 om undtagelse af visse private edb-registre fra anmeldelsespligt, samt de registreringsformer som er undtaget i medfør af lov om private registre § 3, stk. 4, 2. pkt. Undtagelsen af foreningsregistre har endvidere baggrund i artikel 18, stk. 4, jf. artikel 8, stk. 2, litra d. Der er således ikke på dette punkt tiltænkt nogen indskrænkning i forhold til, hvilke former for registreringer der efter den gældende ordning er undtaget fra anmeldelsespligten. Dog er det med hensyn til behandling i sundhedssektoren præciseret, at behandling af oplysninger på private sygehuse ikke er undtaget fra anmeldelsespligten, jf. nr. 8. Herudover er almindelige personaleregistre, kunde- og leverandørsystemer og lignende undtaget, såfremt der ikke behandles oplysninger, som er omfattet af § 7, stk. 1, og § 8, stk. 4. Endelig er behandlinger, som foretages med henblik på markedsundersøgelser, ikke undergivet kravet om anmeldelse, medmindre der behandles oplysninger, som er omfattet af § 7, stk. 1, og § 8, stk. 4. Det bemærkes, at bestemmelsen ikke omfatter behandlinger, som tillige har et andet formål, f.eks. efterfølgende konkrete markedsføringstiltag over for de personer, som indgår i undersøgelsen.

    Af bestemmelsens stk. 2 følger, at justitsministeren fastsætter nærmere regler om de i stk. 1 nævnte behandlinger. Bestemmelsen skal - ligesom bestemmelsen i § 44, stk. 2 - ses på baggrund af direktivets artikel 18, stk. 2, hvorefter medlemsstaterne for de typer af behandlinger, som undtages fra anmeldelsespligten, anfører, hvad der er formålet med behandlingerne, hvilke oplysninger eller typer af oplysninger der behandles, hvilke registrerede eller typer af registrerede der er tale om, til hvilke modtagere eller kategorier af modtagere oplysningerne videregives, samt hvor længe oplysningerne opbevares.

    Bemyndigelsesbestemmelsen i stk. 3 svarer i en vis udstrækning til, hvad der følger af lov om private registre § 3, stk. 5. Der kan fastsættes undtagelser fra anmeldelseskravet for så vidt angår typer af behandlinger, for hvilke det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes, jf. direktivets artikel 18, stk. 2. Der vil ikke kunne ske undtagelse for de typer af behandlinger, som er omtalt i § 50, stk. 1, medmindre behandlingerne undtages efter § 50, stk. 3.

Til § 50

Til stk. 1 og 2

    Reglerne i stk. 1 og 2 har deres baggrund i direktivets artikel 20, stk. 1 og 2.

    Bestemmelsen i stk. 1 foreskriver et krav om, at der skal indhentes en tilladelse fra Datatilsynet inden iværksættelsen af visse typer af behandlinger. Det gælder dog kun, i det omfang de pågældende behandlinger ikke er undtaget fra anmeldelseskravet, jf. § 49, stk. 1 eller 3. Der skal ske forelæggelse for Datatilsynet, før iværksættelse af behandling af oplysninger, som er omfattet af § 7, stk. 1, og § 8, stk. 4. Dette skal ses i lyset af, hvad der følger af lov om private registre § 2, stk. 3, og § 3, stk. 4. Endvidere skal der ske forelæggelse, før iværksættelse af advarselsregistervirksomhed, kreditoplysningsbureauvirksomhed og stillingsbesættende virksomhed, hvilket svarer til lov om private registre § 3, stk. 6, og § 8 samt § 1 i bekendtgørelse nr. 523 af 11. august 1986 om virksomheder, der erhvervsmæssigt yder bistand ved stillingsbesættelse. Der er dog i loven fastsat en egentlig tilladelsesordning i modsætning til den anmeldelsesordning, som i dag gælder for hovedparten af ovennævnte typer af registreringsvirksomhed. Endelig skal der meddeles tilladelse til behandlinger, der udelukkende finder sted med henblik på at føre retsinformationssystemer. Hermed sigtes til retsinformationssystemer, der er omfattet af § 9.

    Bestemmelsen i stk. 2 omhandler overførsler af oplysninger til tredjelande. Formålet med bestemmelsen er at give Datatilsynet indseende med og mulighed for at gribe ind over for visse overførsler til tredjelande, som sker efter lovens § 27, stk. 1 og 3, nr. 2-4. I modsætning til bestemmelsen i stk. 1, hvorefter der skal ske forelæggelse af hele den række af behandlinger, som finder sted med henblik på de formål, som fremgår af bestemmelsen, skal der efter stk. 2 kun indhentes tilladelse til selve overførslen. Hvis der fra f.eks. et personaleregister, som er undtaget fra anmeldelse, jf. § 49, skal ske overførsel af oplysninger til et tredjeland, vil tilladelseskravet således ikke indebære, at der skal ske anmeldelse af eller gives tilladelse til førelsen af selve personaleregisteret.

Til stk. 3 og 4

    I stk. 3 er indsat en bemyndigelsesbestemmelse, hvorefter justitsministeren kan undtage behandlinger, der er omfattet af stk. 1, nr. 1, samt stk. 2, fra tilladelseskravet. I forbindelse med undtagelser fra stk. 2 kan der f.eks. lægges vægt på, om Europa-Kommissionen efter direktivets artikel 25, stk. 6, har fastslået, at bestemte tredjelande sikrer et tilstrækkeligt beskyttelsesniveau, således at der ikke længere vil være samme behov for forudgående tilladelse inden overførsel af oplysninger til de pågældende tredjelande.

    I henhold til stk. 4 kan justitsministeren fastsætte regler om, at der forinden iværksættelsen af andre anmeldelsespligtige behandlinger end de i stk. 1 og 2 nævnte skal indhentes en tilladelse fra Datatilsynet. Ligesom i relation til § 45, stk. 2, kan der f.eks. lægges vægt på, om der er tale om en behandling, som har til formål at udelukke den registrerede fra at udøve en ret, modtage en ydelse eller opnå en kontrakt, eller som indebærer anvendelse af ny teknologi, der indebærer særlige risici for registrerede personer, jf. direktivets betragtning 53.

Til stk. 5

    Af bestemmelsen følger, at Datatilsynet kan fastsætte nærmere vilkår for udførelsen af behandlinger, som skal tillades efter stk. 1, 2 eller 4. Ved fastsættelsen af vilkår for behandlinger af oplysninger med henblik på forskning eller statistik forudsættes det, at der tages udgangspunkt i de vilkår, som i dag stilles i henhold til lov om private registre § 2, stk. 3, 3. pkt. I relation til advarselsregistre forudsættes det, at der tages udgangspunkt i de vilkår, som stilles efter lov om private registre § 3, stk. 7. Endelig forudsættes det, at der med hensyn til vilkår for førelse af stillingsbesættende virksomhed tages udgangspunkt i den gældende bekendtgørelse om virksomheder, der erhvervsmæssigt yder bistand ved stillingsbesættelse. Herudover kan vilkårene for de nævnte erhvervsmæssige aktiviteter udformes som en nærmere beskrivelse af lovens krav samt indskærpelse af kravene til sikkerhedsforanstaltninger.

Til § 51

    Bestemmelserne i stk. 1 og 2 omhandler de tilfælde, hvor der sker ændringer i de oplysninger, som er givet til Datatilsynet i forbindelse med anmeldelse af behandlinger. Bestemmelserne er indsat på baggrund af direktivets artikel 19, stk. 2. I relation til reglen i stk. 1 henvises til bemærkningerne til den tilsvarende bestemmelse i § 46, stk. 1. Reglen i stk. 2 omhandler behandlinger, til hvilke Datatilsynets tilladelse skal indhentes inden iværksættelsen. Tilsynets tilladelse til ændringen skal indhentes inden iværksættelsen, idet der dog i stedet kan ske efterfølgende anmeldelse, såfremt der er tale om ændringer af mindre væsentlig betydning. Om betydningen af dette udtryk henvises til bemærkningerne til § 46, stk. 2.

Til kapitel 14

Anmeldelse af behandlinger, der foretages for domstolene

Til § 52

    Af bestemmelsen følger, at reglerne i §§ 43-46 tilsvarende gælder for anmeldelse til Domstolsstyrelsen af behandling af oplysninger, der foretages for domstolene.

    Anmeldelse til Domstolsstyrelsen, jf. § 67, stk. 1, til brug for dennes udøvelse af sine tilsynsopgaver skal således ske efter de regler, som gælder for behandling af oplysninger, der foretages for den offentlige forvaltning. Dog gælder det, at det kun er selve reguleringen af, hvornår anmeldelse skal ske, og hvilke oplysninger der i givet fald skal være indeholdt i en anmeldelse, som finder anvendelse på domstolenes behandling af oplysninger. Den særlige regel i § 47 har ingen betydning i relation til domstolene. Domstolsstyrelsen kan træffe afgørelse over for den pågældende domstol, jf. § 68, stk. 1. Med hensyn til det nærmere indhold af anmeldelsesreglerne for domstolenes virksomhed henvises til bemærkningerne til §§ 43-46.

Til kapitel 15

Øvrige bestemmelser

Til § 53

    Bestemmelsen afløser anmeldelsesreglen i lov om private registre § 20, stk. 1, om edb-servicebureauer. Reglen gælder således ikke for andre typer af databehandlere. Anmeldelsespligten gælder i modsætning til lov om private registre § 20 for ethvert organ, herunder også f.eks. en forvaltningsmyndighed, som udfører edb-servicebureauvirksomhed. Reglen gælder for alle virksomheder, myndigheder m.v., som foretager elektronisk behandling af oplysninger, uanset om behandlingen er omfattet af en anden medlemsstats lovgivning.

Til § 54

    Bestemmelsen i stk. 1 indebærer, at vedkommende tilsynsmyndighed skal føre en fortegnelse over de behandlinger, der er anmeldt efter §§ 43, 48 og 52. Fortegnelsen skal være tilgængelig for offentligheden. Bestemmelsen svarer til en vis grad til, hvad der følger af lov om offentlige myndigheders registre § 8, stk. 2, 1. pkt. Bestemmelsen har desuden baggrund i direktivets artikel 21, stk. 2. Reglen gælder for såvel offentlige som private dataansvarliges behandlinger. Formålet med reglen er, at det skal være let for borgerne at gøre sig bekendt med, hvilke behandlinger der er anmeldt til tilsynsmyndighederne. Det forudsættes derfor, at fortegnelsen, hvori alle de oplysninger, som fremgår af § 43, stk. 2, skal noteres, fremstår i en overskuelig og let forståelig form. Det forudsættes endvidere, at førelsen af fortegnelsen tilrettelægges således, at det er let for enhver at få adgang til de ajourførte oplysninger.

    Bestemmelsen i stk. 2 er en følge af direktivets artikel 21, stk. 3. Reglen forudsætter, at en dataansvarlig har kendskab til alle de behandlinger, som foretages for denne, idet den dataansvarlige skal stille de i § 43, stk. 2, nr. 1, 2 og 4-6, nævnte oplysninger til rådighed for enhver, som anmoder derom. Efter bestemmelsen skal den dataansvarlige således også give meddelelse om de behandlinger, som foretages for den dataansvarlige af en databehandler, f.eks. et edb-servicebureau. Oplysningerne skal som nævnt stilles til rådighed for enhver, der anmoder herom. Det er således ingen betingelse, at vedkommende er registreret eller på anden måde kan godtgøre en interesse i at blive gjort bekendt med oplysningerne. Det forudsættes, at oplysningerne stilles til rådighed inden for en rimelig tid efter begæringens fremsættelse.

    I bestemmelsens stk. 3 fastsættes det, under hvilke betingelser offentlighedens adgang til den fortegnelse, der er nævnt i stk. 1, og de oplysninger, der er nævnt i stk. 2, undtagelsesvis kan begrænses.

    Undtagelse kan for det første gøres, i det omfang det er nødvendigt til forebyggelse, opklaring og forfølgning af lovovertrædelser. Undtagelse kan endvidere gøres, hvis afgørende hensyn til private interesser gør det påkrævet. Det vil f.eks. være tilfældet, hvis indsigt i fortegnelsen vil afsløre forskningshemmeligheder.

Til kapitel 16

Datatilsynet

    Reglerne i dette kapitel vedrører Datatilsynets organisation samt tilsyns- og inspektionsbeføjelser i forhold til behandlinger, som ikke er omfattet af de særlige tilsynsbestemmelser i kapitel 17. I kapitlet er endvidere fastsat regler om Datatilsynets opgaver i relation til visse former for behandling af oplysninger, som er undergivet en anden medlemsstats lovgivning.

    Bestemmelserne er fastsat på baggrund af direktivets artikel 28 og afløser reglerne om Registertilsynets organisation og kompetence i lov om offentlige myndigheders registre kapitel 7 og lov om private registre kapitel 7.

Til § 55

    Bestemmelsen har sin baggrund i direktivets artikel 28, stk. 1, og til dels artikel 28, stk. 3, 1. pind.

    Reglen i stk. 1 svarer til lov om offentlige myndigheders registre § 22, stk. 1. Tilsynsmyndigheden foreslås benævnt Datatilsynet i stedet for Registertilsynet, men dette indebærer ikke i sig selv ændringer, for så vidt angår tilsynets organisation eller virksomhed. Reglen svarer til § 22, stk. 1, 1. pkt., i lov om private registre, samt § 22, stk. 1, 1. pkt., i lov om offentlige myndigheders registre. Efter bestemmelsen har Datatilsynet som udgangspunkt kompetence i relation til enhver behandling, som omfattes af loven. Andet kan dog være bestemt i særlovgivningen.

    Reglen i stk. 2 svarer til lov om offentlige myndigheders registre § 24. Sekretariatet, der skal varetage Datatilsynets daglige forretninger, herunder den løbende inspektionsvirksomhed, forudsættes sammensat således, at det besidder såvel juridisk som edb-teknisk sagkundskab. Med den rivende udvikling, der i disse år og fremover vil finde sted på IT-området, er det af central betydning, at sekretariatets personale til stadighed kan honorere disse krav.

    Reglen i stk. 3 svarer til lov om offentlige myndigheders registre § 23. Der skal ved udpegning af medlemmer af rådet tilstræbes uvildighed og sagkundskab. Rådets medlemmer skal således udpeges på en sådan måde, at der sikres Datatilsynet den fornødne uafhængighed af interesser inden for den offentlige og private sektor. Samtidig er det af afgørende betydning for Datatilsynets autoritet, at der blandt rådets medlemmer findes personer med betydelig indsigt i den offentlige (statslige såvel som kommunale) forvaltnings og erhvervslivets og arbejdsmarkedets forhold, da dette vil være en forudsætning for, at tilsynet kan foretage en selvstændig vurdering af de synspunkter, der kan anføres for og imod ønsker om påbegyndelsen og tilrettelæggelsen af bestemte behandlinger. Endelig forudsættes det, at mindst ét medlem af rådet besidder indgående kendskab til informationsteknologi. Formandsposten har hidtil været beklædt af en højesteretsdommer, og på grund af Datatilsynets særlige funktion og status bør denne praksis i videst muligt omfang opretholdes.

    Bestemmelsen i stk. 4 afløser lov om offentlige myndigheders registre § 25, idet det dog ikke længere er justitsministeren, som fastsætter rådets forretningsorden, men rådet selv. Der vil kunne fastsættes nærmere regler om sagernes formelle behandling, herunder om, hvor mange medlemmer af rådet der skal være til stede, for at rådet kan anses for beslutningsdygtigt, om indkaldelse af stedfortræder osv. samt om, at visse typer af sager kan afgøres af sekretariatet på Datatilsynets vegne.

Til § 56

    Bestemmelsen har sin baggrund i direktivets artikel 28, stk. 1, 2. afsnit. Den nuværende lovgivning indeholder ikke en tilsvarende bestemmelse, men indsættelsen af det udtrykkelige krav om uafhængighed indebærer ikke nogen ændring af den gældende retstilstand. Datatilsynet er efter reglen fortsat ikke undergivet tjenestebefalinger fra anden administrativ myndighed med hensyn til udøvelsen af sin virksomhed.

Til § 57

    Bestemmelsen har sin baggrund i direktivets artikel 28, stk. 2. Der er ikke en tilsvarende regel i den gældende registerlovgivning. Kravet om forelæggelse for Datatilsynet gælder i forbindelse med udfærdigelsen af anordninger, bekendtgørelser og cirkulærer m.v. Det er uden betydning, om reglerne kun er bindende for ansatte i en myndighed eller tillige har retsvirkning over for borgerne. Det afgørende vil være, om reglerne har indflydelse på beskyttelsen af privatlivet i forbindelse med behandling af personoplysninger. Der skal bl.a. ske høring inden fastsættelsen af nærmere regler efter denne lov, f.eks. efter § 44, stk. 2, § 45, stk. 2, § 72 og § 73.

    Det forudsættes endvidere, at der sker høring af Datatilsynet i forbindelse med udfærdigelse af lovforslag, som fremsættes af regeringen. Endvidere forudsættes det, at vedkommende ressortministerium i forbindelse med sin stillingtagen til et privat lovforslag hører Datatilsynet.

    Datatilsynet skal i forbindelse med høringen udtale sig om, hvorvidt de påtænkte retsforskrifter m.v. efter tilsynets opfattelse giver anledning til betænkeligheder i forhold til direktivet og denne lov eller i øvrigt i relation til beskyttelsen af de registreredes privatliv.

    Hvis der i et tilfælde ikke sker høring af Datatilsynet, indebærer dette ikke, at den udstedte administrative retsforskrift er ugyldig.

Til § 58

    Bestemmelsen i stk. 1 svarer til lov om offentlige myndigheders registre § 22, stk. 2, og til lov om private registre § 22, stk. 1, 2. pkt. Den har desuden baggrund i direktivets artikel 28, stk. 1 og 4. Enhver registreret kan indgive en anmodning til Datatilsynet om beskyttelse af sine rettigheder efter loven. Herudover kan tilsynet tage sager op af egen drift, såfremt tilsynet finder anledning dertil.

    

Stk. 2 er indsat på baggrund af direktivets artikel 25, stk. 4, artikel 25, stk. 6, sidste afsnit, artikel 26, stk. 3, sidste afsnit, samt artikel 26, stk. 4. Det er efter bestemmelsen muligt at tilbagekalde begunstigende afgørelser truffet over for såvel dataansvarlige som registrerede. Det er dog en forudsætning, at tilbagekaldelsen er nødvendig for at efterleve Kommissionens afgørelse.

Til § 59

    

Bestemmelserne afløser de gældende regler i lov om private registre § 23, stk. 1-6. De har endvidere sin baggrund i direktivets artikel 28, stk. 3, 2. pind.

    Datatilsynet vil i medfør af bestemmelsen i stk. 1 kunne påbyde en privat dataansvarlig at ophøre med en behandling, der ikke må finde sted efter denne lov, og at berigtige (rette), slette eller blokere bestemte oplysninger, som er omfattet af en sådan behandling. Det bemærkes, at den registrerede i sådanne tilfælde endvidere efter § 37, stk. 2, vil kunne fremsætte anmodning om, at den dataansvarlige skal underrette tredjemand om, at videregivne oplysninger er blevet berigtiget, slettet eller blokeret.

    I relation til blokering af oplysninger vil Datatilsynet kunne give påbud herom under særlige betingelser. Tilsynet vil således bl.a. kunne bestemme, at der skal ske blokering af oplysninger til visse formål eller i relation til bestemte modtagere, samt at blokeringen ophæves, når bestemte betingelser er opfyldt.

    Efter bestemmelsen i stk. 2 kan Datatilsynet forbyde visse nærmere angivne fremgangsmåder i forbindelse med behandlingen af oplysninger. Reglen svarer til lov om private registre § 23, stk. 5.

    Reglen i stk. 3 supplerer bestemmelsen i § 41, stk. 3, om, at der skal træffes fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Dette svarer til ordningen i lov om private registre § 24, stk. 6. Såfremt der er fastsat nærmere bestemmelser om sikkerhed i henhold til § 41, stk. 5, kan tilsynet alene meddele et sådant påbud i overensstemmelse med disse. Tilsynet kan dog supplere bestemmelserne i overensstemmelse med § 41, stk. 3, såfremt der er tale om konkrete forhold, som de efter § 41, stk. 5, fastsatte sikkerhedsbestemmelser ikke regulerer.

    Bestemmelsen i stk. 4 medfører, at Datatilsynet vil kunne meddele en eventuel databehandler, som på vegne af en dataansvarlig foretager en behandling som nævnt i stk. 1-3, påbud eller forbud. Dette kan være relevant, såfremt det ikke er muligt for tilsynet at meddele den dataansvarlige de nødvendige påbud eller forbud, f.eks. fordi det ikke er muligt at komme i kontakt med den dataansvarlige, eller hvis den dataansvarlige ikke ønsker at efterleve en afgørelse, som er truffet af tilsynet i henhold til stk. 1-3. Det er en forudsætning, at der ikke er umiddelbar udsigt til, at tilsynet kan meddele den dataansvarlige sin afgørelse efter stk. 1-3 eller til, at den dataansvarlige efterlever tilsynets afgørelse, såfremt denne allerede er truffet og meddelt den dataansvarlige. Det er endvidere en forudsætning, at den fortsatte behandling er til skade for den registrerede eller for andre, f.eks. fordi der foregår en ulovlig videregivelse eller anden udbredelse af personoplysninger.

Til § 60

    Datatilsynet har efter bestemmelsen i stk. 1 kun afgørelseskompetence med bindende virkning over for andre myndigheder i relation til de bestemmelser, som specifikt er nævnt i bestemmelsen. I andre situationer har tilsynet alene kompetence til at afgive uforbindende udtalelser, jf. stk. 2.

Til § 61

    Tilsynets afgørelser kan efter bestemmelsen ikke indbringes for anden administrativ myndighed. Dette svarer til den gældende retstilstand, se f.eks. lov om private registre § 25. Reglen gælder for såvel afgørelser truffet over for offentlige myndigheder, jf. § 60, stk. 1, som for påbud og forbud eller andre afgørelser, meddelt til private dataansvarlige efter f.eks. § 59. Reglen gælder endvidere for afgørelser, som er truffet efter § 64, stk. 1.

    Bestemmelsen er ikke til hinder for, at afgørelserne indbringes for Folketingets Ombudsmand.

Til § 62

    Bestemmelsen i stk. 1 afløser lov om offentlige myndigheders registre § 26, stk. 1. Den svarer endvidere til lov om private registre § 26, stk. 2. Bestemmelsen har desuden sin baggrund i direktivets artikel 28, stk. 3, 1. pind. Det forhold, at tilsynet kan kræve oplysninger til afgørelse af, om et forhold falder ind under lovens bestemmelser, medfører, at tilsynet bl.a. vil kunne kræve oplysninger med henblik på at afklare, om en given behandling er omfattet af undtagelsesbestemmelsen i lovens § 2.

    Bestemmelsen i stk. 2, som tager sigte på behandlinger, der foretages for den offentlige forvaltning, svarer til lov om offentlige myndigheders registre § 26, stk. 2. Det følger af direktivets artikel 28, stk. 3, 1. pind, at tilsynsmyndigheden skal kunne have adgang til de oplysninger, der gøres til genstand for en behandling. Det forudsættes således, at tilsynet har mulighed for selv at gøre sig bekendt med oplysningerne efter at have fået adgang til lokaler, hvorfra der er adgang til disse.

    Bestemmelsen i stk. 3, der tager sigte på behandlinger, der foretages for private dataansvarlige, svarer til en vis grad til lov om private registre § 22, stk. 3. I bestemmelsen er fastsat en begrænset inspektionsbeføjelse, nemlig til de typer af behandlinger, som er undergivet et krav om forudgående tilladelse. Dette gælder også behandlinger, som er inddraget under tilladelsesordningen i medfør af § 50, stk. 4.

    Bestemmelsen i stk. 4 afløser lov om private registre § 22, stk. 3, jf. § 20, idet den dog tillige gælder for offentlige edb-servicebureauer. Der vil efter bestemmelsen kunne foretages inspektion i forhold til såvel behandlinger, der er omfattet af denne lov, som i forhold til behandlinger, som er omfattet af en anden medlemsstats lovgivning, jf. herved også § 64, stk. 1.

Til § 63

    Bestemmelsen i stk. 1 svarer til lov om private registre § 26, stk. 1, og afløser endvidere reglen i lov om offentlige myndigheders registre § 8 c. Efter bestemmelsen kan Datatilsynet fastsætte, at anmeldelser og ansøgninger om tilladelser kan eller skal indgives på en bestemt måde. Dette gælder i relation til såvel den offentlige forvaltning som private. Tilsynet kan således beslutte, at der kan ske anmeldelse ved anvendelse af bestemte blanketter. Desuden kan tilsynet bestemme, at der tillige skal ske anmeldelse ad elektronisk vej, f.eks. via elektronisk post eller på anden måde. Tilsynet kan efter bestemmelsen også fastsætte nærmere regler for, hvordan der kan foretages (enslydende) anmeldelse af behandlinger, som foretages af flere myndigheder. Det forudsættes, at tilsynet ved udformningen af anmeldelserne sikrer, at en dataansvarlig gøres opmærksom på muligheden for at undtage en anmeldelse fra offentliggørelse, jf. § 54, stk. 3, med henvisningen til § 30.

    

Stk. 2 svarer til lov om private registre § 26, stk. 2. I bestemmelsen er det fastsat, at der opkræves gebyrer for anmeldelser og tilladelser inden for den private sektor. I bestemmelsen er det endvidere hvilket ikke er tilfældet i bestemmelsen i § 26, stk. 2, i lov om private registre fastsat, at den private dataansvarliges betalingsforpligtelse indtræder ved indgivelse af anmeldelse eller ansøgning om tilladelse.

    For at lette administrationen med gebyrordningen fastsætter bestemmelsen i stk. 3, at en anmeldelse først anses for indgivet, når betaling er sket. Det fastsættes endvidere, at Datatilsynet kan bestemme, at en tilladelse ikke meddeles, før betaling har fundet sted.

    Bestemmelsen i stk. 4 indebærer, at der ikke skal betales gebyr for anmeldelse til/indhentning af tilladelse hos Datatilsynet til behandlinger, der udelukkende finder sted i videnskabeligt eller statistisk øjemed. Herved opretholdes den nuværende ordning i loven om private registre m.v., hvorefter der ikke påhviler private forskere eller statistikere en forpligtelse til at betale 1.000 kr. i forbindelse med anmeldelse til Registertilsynet, jf. lov om private registre § 26, stk. 2, modsætningsvis. Det bemærkes, at de forsknings- og statistikprojekter, der efter loven om private registre m.v. skal anmeldes forudgående, er projekter, hvori der indgår oplysninger om enkeltpersoners rent private forhold, jf. nærmere lovens § 2, stk. 3.

    Reglen i stk. 5 indebærer, at der ikke vil kunne opkræves mere end ét gebyr for anmeldelse af/ tilladelse til samme behandling.

Til § 64

    Efter bestemmelsen i stk. 1, som er fastsat på baggrund af direktivets artikel 28, stk. 6, er Datatilsynet kompetent til at påse, at en behandling, som er undergivet en anden medlemsstats lovgivning, er lovlig. Datatilsynet vil kunne afkræve oplysninger af en eventuel databehandler, som er etableret i Danmark, eller af en repræsentant for den dataansvarlige, som befinder sig i Danmark, jf. § 62, stk. 1, og tilsynet vil endvidere kunne udføre inspektioner efter reglerne i § 62, stk. 3-4. Herudover har tilsynet kompetence til at realitetsbehandle og afgøre sagen efter den pågældende medlemsstats materielle lovgivning. Endelig kan tilsynet efter reglerne i lovens § 59 meddele påbud eller forbud til en databehandler eller repræsentant for den dataansvarlige, såfremt disse befinder sig i Danmark. Der er ikke en egentlig klageadgang for den registrerede, men tilsynet er kompetent til at tage en sag op af egen drift, hvis tilsynet finder anledning dertil. Datatilsynet kan bl.a. blive anmodet af en myndighed i en anden medlemsstat om at udøve sine beføjelser. Det forudsættes i øvrigt, at tilsynsmyndighederne i medlemsstaterne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter.

    Reglen i stk. 2 indebærer, at der vil kunne ske videregivelse til myndigheder i andre medlemsstater af oplysninger, selv om disse måtte være undergivet tavshedspligt. Bestemmelsen har sin baggrund i direktivets artikel 28, stk. 6, sidste pkt.

Til § 65

    Datatilsynet skal efter bestemmelsen afgive en årlig beretning om sin virksomhed til Folketinget. Beretningen offentliggøres. Bestemmelsen svarer til lov om offentlige myndigheders registre § 28, stk. 1. Den har endvidere sin baggrund i direktivets artikel 28, stk. 3, 2. pind, og artikel 28, stk. 5. I årsberetningen er tilsynet berettiget til at gengive eller redegøre for eventuelle svar eller andre reaktioner fra de berørte myndigheder.

    Bestemmelsens 3. pkt. svarer i et vist omfang til den gældende lovs § 28, stk. 2. Reglen har endvidere sin baggrund i direktivets artikel 28, stk. 3, 2. pind.

Til § 66

    Af bestemmelsen følger, at Datatilsynet samarbejder med Domstolsstyrelsen i det omfang, det er nødvendigt for at opfylde Datatilsynets pligter, navnlig ved at udveksle alle relevante oplysninger. Tilsynsmyndigheden på domstolsområdet (Domstolsstyrelsen) skal tilsvarende samarbejde med Datatilsynet, jf. § 68, stk. 1, med henvisningen til § 66.

    Selv om bestemmelsen er indsat i kapitlet om Datatilsynet, vil initiativet til samarbejde tilsynsmyndighederne imellem naturligvis kunne udgå fra Domstolsstyrelsen. Det forudsættes, at tilsynsmyndighederne indbyrdes drøfter spørgsmål af mere principiel karakter, således at der sker den fornødne koordinering tilsynsmyndighederne imellem. Herved sikres det, at tilsynsmyndighedernes praksis ikke udvikler sig i en forskellig retning. Det bemærkes i den forbindelse, at en række af de foreslåede bestemmelser overlader vedkommende tilsynsmyndighed et forholdsvist frit skøn ved udfyldningen af de i loven indeholdte standarder.

Til kapitel 17

Tilsyn med domstolene

Til § 67

Til stk. 1

    Efter bestemmelsen fører Domstolsstyrelsen tilsyn med behandling af oplysninger, der foretages for domstolene.

Til stk. 2

    I bestemmelsen fastsættes det, at Domstolsstyrelsens tilsyn i det hele omfatter domstolenes administrative forhold. Domstolsstyrelsens tilsyn omfatter således den teknisk-administrative behandling af oplysninger, herunder spørgsmålet om behandlingssikkerheden. Dette indebærer bl.a., at førelsen af en elektronisk oversigt over de ved et embede ansatte personers forhold m.v. er omfattet af tilsynet.

    Domstolsstyrelsens tilsyn omfatter ikke retternes judicielle funktioner, idet der for disse funktioner er fastsat en særlig kontrolordning, jf. nærmere stk. 3.

Til stk. 3

    Bestemmelsen tager sigte på retternes behandling af oplysninger i forbindelse med varetagelsen af judicielle funktioner.

    Af bestemmelsens 1. pkt. følger, at afgørelser om behandling af oplysninger træffes af vedkommende ret. I de tilfælde, hvor der i forbindelse med domstolenes varetagelse af sine judicielle funktioner opstår spørgsmål om lovligheden af den behandling af personoplysninger, som finder sted i tilknytning hertil, påhviler det således vedkommende dataansvarlige domstol at træffe afgørelse herom. Dette sker i form af judicielle afgørelser, der kan påkæres efter reglerne i 2.-4. pkt.

    Efter bestemmelsens 2. pkt. kan den dataansvarlige domstols afgørelser kæres til højere ret. Bestemmelsen tager navnlig sigte på de almindelige domstole, jf. retsplejelovens § 1, stk. 1. Bestemmelsen fastsætter, at en dataansvarlig domstols afgørelse altid kan kæres til højere ret. Bestemmelsen indebærer dermed, at der skal ses bort fra en eventuel appelbegrænsningsregel. Eksempelvis vil spørgsmålet om, hvorvidt der skal ske berigtigelse af behandlede personoplysninger, kunne påkæres til højere ret, uanset bestemmelsen i retsplejelovens § 221, stk. 3, 2. pkt. Også et eventuelt krav om andeninstansbevilling til den retsafgørelse, som behandlingen af oplysninger vedrører, skal der efter bestemmelsen ses bort fra. Hvilken overordnet retsinstans kære skal ske til, og hvilke procesregler der skal finde anvendelse, vil som udgangspunkt afhænge af reglerne for den retsafgørelse, som behandlingen af oplysningerne vedrører. Kære sker efter de almindelige regler i retsplejeloven herom, medmindre der i lovgivningen er fastsat særlige regler for indbringelse af vedkommende dataansvarlige domstols afgørelser for højere retsinstans. Dette betyder bl.a., at byretternes afgørelser vedrørende lovligheden af en behandling af oplysninger skal påkæres til vedkommende landsret efter reglerne i retsplejeloven. Dette gælder både for så vidt angår civile retssager og sager inden for strafferetsplejen. Det bemærkes, at bestemmelsens 2. pkt. også omhandler de tilfælde, hvor en særlig domstol - dvs. en domstol, der ikke indgår i det almindelige domstolshierarki, jf. retsplejelovens § 1, stk. 1 - har truffet afgørelse om lovligheden af en behandling af personoplysninger, som har fundet sted i forbindelse med behandlingen af en retssag. En betingelse herfor er dog, at der er adgang til at indbringe den materielle afgørelse i sagen for højere ret. F.eks. kan en landvæsenskommissions afgørelser indbringes for en overlandvæsenskommission.

    Bestemmelsens 3. pkt. omhandler særlige domstole, hvis materielle afgørelser efter de processuelle regler, der gælder for disses virksomhed, ikke kan indbringes for en højere ret. Det gælder f.eks. Arbejdsretten og Tjenestemandsretten. I disse tilfælde følger det af bestemmelsen, at afgørelsen om lovligheden af behandlingen af personoplysninger kan påkæres til den landsret, i hvis kreds retten er beliggende. Kæremålet skal behandles efter retsplejelovens regler om den civile retspleje. Det forudsættes, at afgørelser, der er truffet af Den Særlige Klageret, ikke kan indbringes for landsretten. Hvis den materielle afgørelse i en sag, som klageretten behandler, kan indbringes for Højesteret, vil også klagerettens afgørelser om lovligheden af en behandling af personoplysninger i en sådan sag kunne påkæres til Højesteret, jf. bestemmelsens 2. pkt. Således kan afgørelser om lovligheden af behandling af personoplysninger i tilknytning til sager om afsættelse af dommere kæres til Højesteret, jf. herved retsplejelovens § 49, stk. 9.

    I bestemmelsens 4. pkt. er endelig fastsat, at kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende. Kærefristen gælder, uanset om kære sker efter bestemmelsens 2. eller 3. pkt.

    Der henvises i øvrigt til betænkningen, side 376- 378.

Til § 68

    I bestemmelsens stk. 1 fastsættes det, hvilke nærmere beføjelser der tilkommer Domstolsstyrelsen i forbindelse med dennes udførelse af tilsyn i henhold til § 67. Efter bestemmelsen finder reglerne i §§ 56, 58, 62, stk. 1, 2 og 4, 63, stk. 1, og 66 anvendelse for Domstolsstyrelsens udøvelse af tilsyn. De afgørelser, som Domstolsstyrelsen måtte træffe i forbindelse med udøvelsen af sit tilsyn, kan efter bestemmelsen ikke påklages til anden administrativ myndighed. Afgørelserne kan heller ikke indbringes for Folketingets Ombudsmand. Bestemmelsen vedrører derimod ikke domstolenes kompetence i henhold til grundlovens § 63.

    Efter bestemmelsens stk. 2 skal der ved udarbejdelsen af bekendtgørelser eller lignende generelle administrative retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, der foretages for domstolene, indhentes en udtalelse fra Domstolsstyrelsen. Det forudsættes endvidere, at der indhentes en udtalelse fra Domstolsstyrelsen i forbindelse med regeringens udarbejdelse af lovforslag, der vedrører behandling af oplysninger, der foretages for domstolene.

    Af bestemmelsens stk. 3 følger, at Domstolsstyrelsen offentliggør en årlig beretning om dens virksomhed.

Til kapitel 18

Straf- og erstatningsansvar

Til § 69

    Bestemmelsen, der bygger på direktivets artikel 23, fastlægger et præsumptionsansvar (culpa med omvendt bevisbyrde) for den dataansvarlige. Det fastsættes således, at den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i loven. Dette gælder dog ikke, hvis den dataansvarlige godtgør, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

    Bestemmelsen indebærer ikke andre ændringer i dansk rets almindelige erstatningsretlige regler. Disse regler finder således fortsat anvendelse ved bedømmelsen af, om den dataansvarlige i forbindelse med behandling af oplysninger har pådraget sig et erstatningsansvar over for den registrerede.

    Erstatningskrav, der gøres gældende i henhold til bestemmelsen, skal indbringes for domstolene. Et erstatningskrav vil således ikke kunne forelægges tilsynsmyndighederne.

Til § 70

    Bestemmelserne, der bl.a. skal ses på baggrund af direktivets artikel 24, afløser reglerne i lov om private registre § 27 og lov om offentlige myndigheders registre § 29.

    Affattelsen af indledningen til bestemmelserne har til formål at sikre, at handlinger, der tillige indebærer en overtrædelse af bestemmelser, der kan medføre højere straf, kan henføres under sådanne bestemmelser. Der tænkes herved navnlig på bestemmelsen i straffelovens § 264 d om bl.a. forsætlig, uberettiget videregivelse af oplysninger om en anden persons private forhold. Der tænkes endvidere på forskellige andre bestemmelser i straffeloven om forbrydelser i offentlig tjeneste eller hverv m.v., herunder bl.a. §§ 152 og 152 c-f samt §§ 155-157.

    Hvad angår behandlinger, som foretages for private, pålægges der efter stk. 1 strafansvar for overtrædelse af en række af lovens bestemmelser, for undladelse af at efterkomme visse afgørelser truffet af Datatilsynet, for undladelse af at efterkomme tilsynets krav om enhver oplysning, der er af betydning for dens virksomhed, for at hindre tilsynet i at udøve sin inspektionsbeføjelse, for at tilsidesætte vilkår og lignende eller for at undlade at efterkomme forbud eller påbud.

    I forbindelse med behandlinger, som foretages for offentlige myndigheder, er det fastsat, at der kan pålægges straf for overtrædelse af vilkår, som tilsynsmyndigheden har stillet i henhold til visse bestemmelser, jf. stk. 2. Dette svarer i begrænset omfang til opregningen i lov om offentlige myndigheders registre § 29, stk. 1. Endvidere pålægges der databehandlere straf for overtrædelse af § 41, stk. 3, eller § 53.

    Efter bestemmelsen i stk. 3 kan der pålægges straf i forbindelse med behandlinger, som er omfattet af en anden medlemsstats lovgivning, men som Datatilsynet efter § 64, stk. 1, påser lovligheden af. Med bestemmelsen sikres det, at der vil kunne pålægges databehandlere strafansvar, hvis de ikke efterlever tilsynets påbud eller forbud efter § 59, hvis de ikke opfylder tilsynets krav efter 62, stk. 1, eller hvis de hindrer tilsynet i at udføre inspektioner, jf. § 62, stk. 3 og 4.

    Efter bestemmelsen i stk. 4 kan der i regler, der udstedes i medfør af loven, fastsættes straf af enten bøde eller hæfte. Bestemmelsen svarer til lov om private registre § 27, stk. 2. Den afløser endvidere lov om offentlige myndigheders registre § 29, stk. 2.

    Bestemmelsen i stk. 5 sikrer, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar. Dette sker efter reglerne i straffelovens 5. kapitel.

Til § 71

    Bestemmelsen afløser reglen i lov om private registre § 28 om frakendelse af retten til at drive eller beskæftige sig med kreditoplysningsbureauvirksomhed, advarselsregistre og edb-servicebureauer. Bestemmelsen gælder imidlertid også for personer, som erhvervsmæssigt yder bistand ved stillingsbesættelse samt personer, som fører retsinformationssystemer. Straffelovens bestemmelser om tidsmæssig begrænsning af frakendelsen af retten og om umiddelbar udelukkelse af denne under sagens behandling m.v. finder tillige anvendelse.

Til kapitel 19

Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v.

Til § 72

    Bestemmelsen giver hjemmel for vedkommende minister til at udstede en bekendtgørelse, hvori der kan fastsættes nærmere regler for en behandling, som foretages for den offentlige forvaltning. Hvis der er tale om en behandling, som foretages for en kommunal eller amtskommunal myndighed, fastsættes reglerne af den minister, under hvis område den pågældende lovgivning hører. Inden reglerne udstedes, skal der indhentes en udtalelse fra Datatilsynet, jf. § 57.

    En bekendtgørelse udstedt i medfør af § 72 bør indeholde mindst de oplysninger, som skal indgå i en anmeldelse til Datatilsynet, jf. § 43, stk. 2, men erstatter ikke denne anmeldelse. Herudover kan der fastsættes nærmere regler, som supplerer eller præciserer de regler, der følger direkte af loven, f.eks. vedrørende indsigtsretten, videregivelse af oplysninger og de sikkerhedsforanstaltninger, der knytter sig til den pågældende behandling. Der vil således i en bekendtgørelse udstedt efter bestemmelsen kunne fastsættes regler, der begrænser den adgang til at videregive oplysninger, herunder følsomme oplysninger, som følger af lovforslagets behandlingsregler, f.eks. lovforslagets § 10 om videregivelse af følsomme oplysninger til brug for statistiske eller videnskabelige undersøgelser. En forudsætning herfor er selvsagt, at reglerne er forenelige med direktivet om behandling af personoplysninger. Reglerne offentliggøres i Lovtidende og må derfor ikke indeholde oplysninger, som det er påkrævet at hemmeligholde af hensyn til gennemførelse af de foreskrevne kontrol- og sikkerhedsforanstaltninger eller på grund af afgørende hensyn til andre offentlige interesser.

    Bestemmelsen tager sigte på behandlinger, hvor særlige forhold taler for, at der på bekendtgørelsesniveau fastsættes nærmere regler for behandlingen. Sådanne særlige forhold kan f.eks. være, at der i behandlingen indgår meget store mængder af følsomme oplysninger, eller at der er tale om en behandling, som indebærer en høj grad af publikumskontakt i form af henvendelser til og fra borgerne.

Til § 73

    Af bestemmelsen følger, at justitsministeren kan fastsætte nærmere regler for bestemte typer af behandlinger, som udføres for private dataansvarlige, herunder at bestemte typer oplysninger ikke må behandles. Bestemmelsen har sin baggrund i den ordning, som i dag følger af lov om private registre § 3, stk. 8. Bestemmelsen giver - ligesom den gældende ovennævnte bestemmelse - bl.a. mulighed for at fastsætte nærmere regler for pengeinstitutters videregivelse af kreditoplysninger. Reglerne i den gældende bekendtgørelse herom (bekg. nr. 122 af 11. marts 1988) vil således kunne opretholdes i medfør af bestemmelsen. Herudover vil det kunne præciseres, hvilke oplysninger der må indgå i bestemte behandlinger, samt hvordan de må indsamles, registreres, videregives m.v.

Til § 74

    Af bestemmelsen følger, at brancheforeninger eller andre organer, som repræsenterer andre kategorier af private dataansvarlige, i samarbejde med Datatilsynet kan udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i loven eller regler udstedt i medfør heraf. Af bestemmelsen følger ikke en forpligtelse til at udarbejde (ikke-bindende) adfærdskodekser. Bestemmelsen er således alene indsat for i overensstemmelse med direktivets artikel 27 at tilskynde brancheforeninger m.v. til at tage initiativ til, at der i samarbejde med Datatilsynet udarbejdes et sæt etiske regler på deres område. Et eksempel på regler, der allerede i dag er udarbejdet, er de presseetiske regler, som gælder for journalistisk virksomhed omfattet af medieansvarsloven. I de tilfælde, hvor der udarbejdes adfærdskodekser, forudsættes det, at Datatilsynet påser, at et sådan sæt regler ikke er i uoverensstemmelse med reglerne i loven samt regler udstedt i medfør heraf. Hvis Datatilsynet finder det nødvendigt, kan tilsynet indhente bemærkninger til udarbejdede udkast hos de registrerede eller deres repræsentanter.

Til § 75

    Bestemmelsen er indsat for at tilvejebringe det fornødne hjemmelsgrundlag for justitsministeren til om nødvendigt at fastsætte administrative bestemmelser til opfyldelse af de gennemførelsesforanstaltninger, som Europa-Kommissionen måtte vedtage efter proceduren i direktivets artikel 31, jf. nærmere artikel 25 og 26 vedrørende overførsel af oplysninger til tredjelande.

    Af bestemmelsen følger endvidere, at justitsministeren kan fastsætte regler, som er nødvendige for at anvende de af fællesskabet udstedte retsakter på direktivets område.

Til § 76

Til stk. 1

    I bestemmelsen fastsættes det, at loven træder i kraft dagen efter bekendtgørelsen i Lovtidende. Bestemmelsen skal ses i lyset af direktivets artikel 32, stk. 1, hvorefter direktivet skulle have været implementeret i dansk ret senest den 24. oktober 1998.

Til stk. 2

    Bestemmelsen indebærer, at den gældende registerlovgivning ophæves. Bestemmelsen betyder endvidere, at de registerforskrifter, som er udstedt efter loven om offentlige myndigheders registre, og de regler, der i øvrigt er udstedt efter registerlovgivningen, bortfalder, jf. dog § 76, stk. 4. Dette indebærer bl.a., at kravene til behandlingssikkerhed fra og med lovens ikrafttræden ikke længere vil fremgå af forskrifterne for offentlige myndigheders edb-registre. Kravene vil i stedet følge af loven og de bekendtgørelser, som udstedes i medfør af loven, jf. lovens kapitel 11.

    En tilladelse til behandling af oplysninger, som er udstedt efter den gældende registerlovgivning, kan ikke danne grundlag for behandling af oplysninger fra og med lovens ikrafttræden. Fra dette tidspunkt skal lovligheden af den behandling, som tilladelsen vedrører, således bedømmes efter lovens regler. Kræver disse regler tilladelse, må den dataansvarlige ikke foretage behandlingen uden tilladelse, jf. dog § 77 og bemærkningerne hertil.

Til stk. 3

    Bestemmelsen betyder, at de personer, som ved lovens ikrafttræden er medlemmer af Registerrådet, fortsætter som medlemmer af Datarådet. Dette gælder, indtil justitsministeren har udnævnt medlemmerne af Datarådet i henhold til lovens § 55, stk. 3.

    Bestemmelsen sikrer, at Datatilsynet kan træde i funktion, når loven er trådt i kraft.

Til stk. 4

    I bestemmelsen fastsættes det, at bekendtgørelse nr. 160 af 20. april 1979 om forretningsorden for registerrådet m.v. gælder for Datatilsynets virksomhed, indtil den ophæves eller erstattes af regler udstedt i medfør af denne lov. Herved sikres det, at der - på lovens ikrafttrædelsestidspunkt - vil være fastsat regler om bl.a. arbejdets fordeling mellem Datarådet og sekretariatet.

    Datarådet vil selv kunne fastsætte sin forretningsorden m.v. og dermed ophæve reglerne i den ovennævnte bekendtgørelse om forretningsorden for Registerrådet m.v., jf. bemyndigelsesbestemmelsen i lovens § 55, stk. 4.

Til stk. 5

    De foreslåede regler indebærer, at der ikke i fremtiden skal udarbejdes registerforskrifter, og at de forskrifter, som er udstedt, bortfalder fra lovens ikrafttræden, jf. stk. 2.

    I medfør af § 2 i loven om udgivelse af en Lovtidende og en Ministerialtidende er der udstedt en kongelig anordning, hvorefter registerforskrifterne ikke indføres i Lovtidende (anordning nr. 73 af 5. marts 1979).

    Denne anordning bortfalder ikke som følge af, at den gældende registerlovgivning ophæves. Det skyldes, at anordningen ikke er udstedt med hjemmel i lov om offentlige myndigheders registre, men - som nævnt - med hjemmel i lov om udgivelse af en Lovtidende og en Ministerialtidende.

    I bestemmelsen fastsættes det derfor, at den nævnte anordning ophæves.

Til stk. 6

    I bestemmelsen fastsættes det, at Datatilsynet - efter reglerne i lov om offentlige myndigheders registre og lov om private registre m.v. - færdigbehandler de klage- eller tilsynssager i Registertilsynet, som tilsynet har oprettet før den 24. oktober 1998, og som ikke måtte være færdigbehandlet ved lovens ikrafttræden.

    Sager, hvori Registertilsynet før den 24. oktober 1998 er blevet anmodet om tilladelse til en behandling af oplysninger, og som ikke måtte være færdigbehandlet ved lovens ikrafttræden, skal ikke færdiggøres efter de hidtil gældende regler.

Til stk. 7

    I bestemmelsen fastsættes det, at Datatilsynet i øvrigt udfører de opgaver, som efter lovgivningen udføres af Registertilsynet. Dette skal ske fra og med lovens ikrafttræden (dagen efter bekendtgørelsen i Lovtidende), hvor lov om offentlige myndigheders registre og lov om private registre m.v. - og dermed reglerne om Registertilsynet - ophæves, jf. stk. 2.

    Som eksempler på bestemmelser i lovgivningen, som tillægger Registertilsynet kompetence m.v., kan nævnes § 14, stk. 2-4, og § 24, stk. 3, i lov om offentlige arkiver m.v., § 91 i lov om værdipapirhandel m.v. og § 3 i lov om gennemførelse af Europolkonventionen.

    Det forudsættes, at de bestemmelser i lovgivningen, hvori Registertilsynet er nævnt, ved først givne lejlighed bliver ændret, således at der tages højde for, at tilsynsmyndigheden fremover betegnes »Datatilsynet«.

Til § 77

Til stk. 1 og 2

    I bestemmelserne fastsættes det, hvornår behandlinger, som er iværksat før den 24. oktober 1998, skal være anmeldt m.v. efter de herom gældende regler i kapitel 12-14.

    Bl.a. for at undgå, at Datatilsynet overbebyrdes med anmeldelser m.v., er det i bestemmelsen fastsat, at for behandlinger, som er iværksat før den 24. oktober 1998, og som foretages for private, skal reglerne i kapitel 13 være opfyldt senest den 1. oktober 2000, mens det for sådanne behandlinger, der foretages for offentlige myndigheder, gælder, at reglerne i kapitel 12 (forvaltningsmyndigheder) og kapitel 14 (domstolene) skal være opfyldt senest den 1. april 2001.

    For nogle behandlinger indebærer lovens regler, at der ikke blot skal ske anmeldelse til tilsynsmyndigheden, men at tilsynsmyndigheden skal give tilladelse, inden behandlingerne iværksættes, eller (hvor der er tale om offentlige myndigheder) komme med en forudgående udtalelse, jf. lovens § 45 (vedrørende forvaltningsmyndigheder), § 50 (vedrørende private dataansvarlige) og § 52 (vedrørende domstolene). De dataansvarlige (eller deres repræsentanter) må derfor indsende anmeldelse vedrørende disse behandlinger i så god tid, at tilsynsmyndigheden vil kunne nå at udstede tilladelse/komme med en forudgående udtalelse inden det tidspunkt, hvor tilladelse/forudgående udtalelse er nødvendig, dvs. inden den 1. oktober 2000 (for de private dataansvarlige) og inden den 1. april 2001 (for de offentlige myndigheder).

Til stk. 3

    Efter behandlingsreglerne i lovforslagets afsnit II skal der i visse tilfælde gives tilladelse til behandling af oplysninger. Som eksempel kan nævnes lovforslagets § 7, stk. 7, § 10, stk. 3, og § 27, stk. 4.

    Reglerne i lovforslaget vil finde anvendelse på behandlinger, der foretages fra og med lovens ikrafttræden. Der kan derfor opstå den situation, at en behandling, som er iværksat før den 24. oktober 1998, hvor direktivet skulle have været gennemført i dansk ret, og som er lovlig umiddelbart forud for lovens ikrafttræden, ikke kan foretages umiddelbart efter lovens ikrafttræden, fordi der skal være indhentet forudgående tilladelse til behandlingen.

    Under hensyn hertil fastsættes det i bestemmelsen, at behandlinger, der er iværksat før den 24. oktober 1998, kan fortsætte uden tilladelse i 16 uger efter lovens ikrafttræden. I udtrykket »fortsætte« ligger, at de dataansvarlige, der efter behandlingsreglerne i lovforslagets afsnit II eller efter bestemmelsen i stk. 7 skal have tilladelse til behandlingen af oplysninger, i en periode på 16 uger efter lovens ikrafttræden vil kunne bortse fra kravet herom, hvis der er tale om en behandling, der forud for lovens ikrafttræden var lovlig efter reglerne i registerlovgivningen. Det forudsættes, at der er tale om en behandling, der i øvrigt lever op til lovens krav.

    Det forudsættes, at tilsynsmyndigheden meget hurtigt efter, at ansøgningen om tilladelse er indgivet, tager stilling til, om der skal gives tilladelse til den pågældende behandling.

Til stk. 4

    Bestemmelsen indebærer, at behandlinger, der er iværksat den 24. oktober 1998 eller senere, men inden lovens ikrafttræden, kan fortsætte uden forudgående anmeldelse, udtalelse eller tilladelse i 16 uger efter lovens ikrafttræden. Bestemmelsen omfatter de tilfælde, hvor der efter behandlingsreglerne i lovforslagets afsnit II (f.eks. lovforslagets § 7, stk. 7, og § 10, stk. 3) eller efter bestemmelsen i stk. 7 skal gives tilladelse til behandling af oplysninger. Bestemmelsen omfatter endvidere de situationer, hvor den dataansvarlige efter reglerne i lovforslagets kapitel 12-14 skal foretage forudgående anmeldelse og eventuelt tillige skal have en forudgående udtalelse (offentlige myndigheder) eller tilladelse (private dataansvarlige).

    Ligesom i stk. 3 betyder udtrykket »fortsætte«, at de dataansvarlige, der efter ovennævnte regler i lovforslaget skal foretage anmeldelse, indhente tilladelse m.v. til behandlingen, i en periode på 16 uger efter lovens ikrafttræden vil kunne bortse fra kravet herom, hvis der er tale om en behandling, der forud for lovens ikrafttræden var lovlig efter reglerne i registerlovgivningen. Det forudsættes, at der er tale om en behandling, der i øvrigt lever op til lovens krav.

Til stk. 5

    Af bestemmelsen følger, at databehandlere (edb-servicebureauer) senest 16 uger efter lovens ikrafttræden skal foretage anmeldelse til Datatilsynet i overensstemmelse med reglen i lovforslagets § 53.

Til stk. 6

    Bestemmelsen indebærer, at justitsministeren - ved bekendtgørelse - kan forlænge de frister, der er fastsat i stk. 1 og 2.

    Bestemmelsen tager sigte på den situation, at det i praksis ikke er muligt eller meget vanskeligt at overholde de fastsatte frister. Vurderingen af, om fristerne bør forlænges, vil ske på baggrund af en udtalelse fra tilsynsmyndigheden (Datatilsynet).

    Det forudsættes, at der i givet fald vil blive tale om at forlænge fristerne med 6 måneder. Det bemærkes i den forbindelse, at det følger af direktivets artikel 32, stk. 2, at medlemsstaterne bl.a. påser, at behandlinger i medlemslandene, der allerede er iværksat på ikrafttrædelsesdatoen for direktivet, bringes i overensstemmelse med direktivets bestemmelser senest den 24. oktober 2001.

Til stk. 7

    Fra og med lovens ikrafttræden skal spørgsmålet om, hvorvidt en behandling af oplysninger er lovlig, bedømmes efter lovens behandlingsregler, jf. afsnit II.

    Disse regler skønnes at give mulighed for, at behandling af oplysninger (registrering, videregivelse m.v.), som foretages efter de hidtil gældende regler, også kan finde sted efter lovens ikrafttræden.

    I bestemmelsen fastsættes det dog, at tilsynsmyndigheden efter ansøgning i ganske særlige tilfælde kan dispensere fra lovens behandlingsregler med hensyn til behandlinger, som er iværksat før lovens ikrafttræden.

    Bestemmelsen forudsættes at have et meget snævert anvendelsesområde. Der sigtes navnlig til en eventuel situation, hvor en privat dataansvarlig - som følge af de nye behandlingsregler - fuldstændigt må ophøre med en behandling af oplysninger (registrering eller videregivelse), der er iværksat efter de hidtil gældende regler, og derved lider væsentlig økonomisk skade, f.eks. fordi virksomheden må lukke.

    Der kan alene dispenseres fra lovens behandlingsregler, jf. afsnit II. Der kan således f.eks. ikke dispenseres fra reglerne i lovens afsnit III om den registreredes rettigheder. Der kan heller ikke dispenseres fra f.eks. anmeldelsesordningen i afsnit V, jf. herom stk. 1 og 2.

    Det er selvsagt en forudsætning for at dispensere, at dispensationen ikke er i strid med direktivet.

Til § 78

Til stk. 1

    I bestemmelsen fastsættes det, at behandlinger, som før lovens ikrafttræden er anmeldt til Registertilsynet efter § 2, stk. 3, 2. pkt., i lov om private registre m.v., kan fortsætte efter de hidtil gældende regler indtil den 1. oktober 2001. Datatilsynet udøver den kompetence, som tilkommer Registertilsynet efter de nævnte regler.

    Efter § 2, stk. 3, 2. pkt., i lov om private registre m.v. må registrering af oplysninger om enkeltpersoners rent private forhold, der alene finder sted til videnskabelige eller statistiske formål, kun ske efter anmeldelse til Registertilsynet. Tilsynet kan fastsætte nærmere vilkår for registeret til beskyttelse af den registreredes privatliv. Der var pr. 1. november 1997 ca. 2460 igangværende registre, som var anmeldt efter den nævnte bestemmelse i lov om private registre m.v.

    Hvis der efter den nævnte bestemmelse anmeldes et register til Registertilsynet før lovens ikrafttræden, indebærer bestemmelsen, at Datatilsynet kan fastsætte vilkår for dette register efter loven om private registre m.v., selv om dette sker efter lovens ikrafttræden. Tilsvarende er det Datatilsynet, der fører tilsyn med overholdelsen af vilkårene efter reglerne i lov om private registre m.v.

    Et forsknings- eller statistikregister, der er omfattet af bestemmelsen, kan - på et hvilket som helst tidspunkt inden den 1. oktober 2001 - vælge at indgive anmeldelse til Datatilsynet, således at registret omfattes af den nye lovs regler.

Til stk. 2

    Bestemmelsen indebærer, at behandlingen som nævnt i stk. 1 skal overholde lovens § 5 om formålsbestemthed m.v. og §§ 41-42 om behandlingssikkerhed m.v. Bestemmelsen fastsætter herudover, at den registrerede for behandlinger, der er nævnt i stk. 1 - uanset at loven i øvrigt ikke finder anvendelse - kan kræve berigtigelse, sletning eller blokering af oplysninger, der er urigtige eller vildledende, eller som opbevares på en måde, der er uforenelig med de legitime formål, som den dataansvarlige forfølger, f.eks. opbevares sikkerhedsmæssigt uforsvarligt. Datatilsynet fører tilsyn efter reglerne i lovens kapitel 16.

Til § 79

    Efter bestemmelsen skal der ikke indhentes fornyet samtykke til en behandling, der foretages efter lovens ikrafttræden, hvis der allerede er indhentet et samtykke efter den hidtil gældende registerlovgivning. Det drejer sig om § 3, stk. 2, § 4, stk. 1 og 2, § 4 a, stk. 1, § 4 a, stk. 2, og § 4 b, stk. 2, i lov om private registre m.v., samt om § 16, stk. 2, nr. 1, § 16 a, stk. 1, § 17, stk. 2, § 21, stk. 2, nr. 1, og § 21, stk. 3, i lov om offentlige myndigheders registre. Det drejer sig endvidere om bestemmelser i forskrifter fastsat i henhold til kapitel 2 i lov om offentlige myndigheders registre og om § 2, stk. 2, og § 3 i bekendtgørelse nr. 523 af 11. august 1986 om virksomheder, der erhvervsmæssigt yder bistand ved stillingsbesættelse.

    En betingelse herfor er dog, at samtykket opfylder de krav til samtykke, der stilles efter denne lov, jf. lovens § 3, nr. 8, sammenholdt med de bestemmelser, der er nævnt i bestemmelsen.

Til § 80

    Bestemmelsen viderefører reglen i § 5, stk. 3, i lov om offentlighed i forvaltningen, hvorefter vedkommende minister kan fastsætte regler om offentlighedens adgang til at blive gjort bekendt med oplysninger i edb-registre m.v., der ikke er omfattet af lov om offentlige myndigheders register. Der kan herunder fastsættes regler om betaling.

    Med forslaget til ændring af bestemmelsen i offentlighedslovens § 5, stk. 3, præciseres det således kun, at lov om offentlige myndigheders registre afløses af en ny lovgivning.

    Der henvises i øvrigt til betænkningen, side 157, 164 og 531 f.

Til § 81

Til nr. 1

    Med bestemmelsen tages højde for, at Registertilsynet foreslås benævnt Datatilsynet, jf. herved § 55, stk. 1, samt bemærkningerne hertil.

Til nr. 2

    Af den nuværende bestemmelse i lov om massemediers informationsdatabaser § 17 følger, at lovgivningens almindelige straf- og erstatningsregler finder anvendelse på sager omfattet af denne lov.

    Som følge af direktivets artikel 23, der fastslår en regel om præsumptionsansvar ved dataansvarliges behandling af personoplysninger, som er omfattet af direktivets område, vil bestemmelsen ikke fuldt ud kunne opretholdes.

    I bestemmelsen er det derfor fastsat, at et massemedie skal erstatte skade, der er forvoldt ved behandling af oplysninger i strid med bestemmelserne i loven, medmindre massemediet godtgør, at skaden ikke kunne være afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger, jf. stk. 1, 1. pkt.

    Med hensyn til de øvrige erstatningsretlige spørgsmål, som vil kunne opstå i tilknytning til massemediers behandling af personoplysninger, foreslås det, at den nuværende ordning opretholdes, jf. stk. 1, 2. pkt. Det vil således fortsat være lovgivningens almindelige erstatningsregler, herunder bl.a. arbejdsgiveransvaret i Danske Lovs 3-19-2 og reglerne i erstatningsansvarsloven, som finder anvendelse.

    Vedrørende spørgsmålet om strafansvar foreslås den gældende ordning opretholdt, jf. stk. 2. Det vil således fortsat være lovgivningens almindelige regler om straf, som finder anvendelse på sager omfattet af loven. Henvisningen til lovgivningens almindelige strafregler betyder dermed, at straffelovens § 23 om medvirken fortsat vil kunne anvendes. Ligeledes vil det fortsat være de almindelige krav om forsæt eller uagtsomhed, som skal være opfyldt for, at strafansvar kan pålægges.

    Endelig foreslås den gældende bestemmelse i stk. 3 tilpasset reglerne om juridiske personers strafansvar i straffelovens 5. kapitel. Der henvises herved til lov nr. 474 af 12. juni 1996 om ændring af straffeloven.

Til nr. 3

    Efter bestemmelsen skal der træffes de fornødne sikkerhedsforanstaltninger mod, at informationer i offentligt tilgængelige informationsdatabaser forvanskes eller på anden måde ændres af uvedkommende. Bestemmelsen skal ses på baggrund af direktivet om behandling af personoplysninger.

    Forpligtelsen til at sikre behandlingssikkerheden i en offentligt tilgængelige informationsdatabase påhviler den, der efter lov om massemediers informationsdatabaser § 7 er ansvarlig for informationsdatabasen.

    Der henvises i øvrigt til lovforslagets almindelige bemærkninger pkt. 4.2.10.3.

Til nr. 4

    Med bestemmelsen lægges der op til, at den, der overtræder den foreslåede regel i § 11 a i lov om massemediers informationsdatabaser (lovforslagets § 81, nr. 3), straffes med bøde eller hæfte.

Til § 82

    Med hensyn til bestemmelsen i nr. 1 bemærkes følgende:

    Efter tinglysningslovens § 50 d, stk. 1, fastsætter justitsministeren efter drøftelse med Registertilsynet nærmere regler med henblik på at sikre, at oplysninger i tinglysningsregistrene ikke tilintetgøres, forvanskes eller uberettiget indføjes, slettes eller ændres, samt med henblik på at sikre, at oplysninger ikke misbruges eller kommer til uvedkommendes kendskab.

    Med bestemmelsen foreslås det, at høringsproceduren ved udarbejdelse af administrative forskrifter på tinglysningsområdet skal svare til den, der i øvrigt foreslås med hensyn til behandling af personoplysninger vedrørende domstolenes administrative forhold.

    Ordningen efter lovforslaget går ud på, at der skal indhentes en udtalelse fra Domstolsstyrelsen, inden der udarbejdes bekendtgørelser eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, der foretages for domstolene, jf. lovforslagets § 68, stk. 2. Derimod skal Datatilsynet, der ikke fører tilsyn på dette område, ikke inddrages ved udarbejdelsen af bekendtgørelser m.v.

    På denne baggrund foreslås det i bestemmelsen, at justitsministeren fastsætter regler som nævnt i tinglysningslovens § 50 d efter drøftelse med Domstolsstyrelsen.

    Med hensyn til bestemmelserne i nr. 2 bemærkes følgende:

    Efter tinglysningslovens § 50 d, stk. 2, fører landsretternes præsidenter tilsyn med tinglysningsregistrene. Tilsynet omfatter den teknisk-administrative behandling af oplysningerne m.v., herunder overholdelsen af de regler om datasikkerhed, som er fastsat efter lovens § 50 d, stk. 1. Beslutninger om registrering (tinglysning) og om videregivelse af oplysninger fra edb-registrene i praksis navnlig efter reglerne i tinglysningslovens § 50 c, stk. 3-7 er derimod judicielle afgørelser, der kan indbringes for landsretten ved kære.

    Landsretspræsidenternes tilsyn føres efter regler, der efter forhandling med landsretspræsidenterne og Registertilsynet fastsættes af justitsministeren, jf. § 50 d, stk. 3. Tilsynet indebærer bl.a. stikprøvevis inspektion på tinglysningskontorerne samt behandling af eventuelle klager, f.eks. over at sikkerhedsforanstaltningerne ved et tinglysningskontor er utilstrækkelige. Præsidenternes afgørelser efter lovens § 50 d, stk. 2, er endelige.

    Tilsynsordningen på tinglysningsområdet bør svare til den, der i øvrigt foreslås med hensyn til behandling af personoplysninger vedrørende domstolenes administrative forhold. Ordningen efter lovforslaget om behandling af personoplysninger går ud på, at Domstolsstyrelsen skal føre tilsyn med behandling af personoplysninger vedrørende domstolens administrative forhold, jf. lovforslagets § 67, stk. 1-2.

    Under hensyn hertil foreslås det i bestemmelsen til en ny affattelse af tinglysningslovens § 50 d, stk. 2, at Domstolsstyrelsen overtager de opgaver, som i dag er henlagt til landsretspræsidenterne med hensyn til tilsynet med tinglysningsregistrene. Der ændres ikke i øvrigt ved den nuværende særlige ordning på tinglysningsområdet.

    Endvidere foreslås det i bestemmelsen til en ny affattelse af tinglysningslovens § 50 d, stk. 3, at justitsministeren fastsætter regler for tilsynet efter forhandling med Domstolsstyrelsen. Den gældende ordning, hvorefter Registertilsynet tillige skal høres, inden justitsministeren fastsætter regler for tilsynet, foreslås ikke opretholdt. Om baggrunden herfor henvises til bemærkningerne ovenfor til ændringen af bestemmelsen i tinglysningslovens § 50 d, stk. 1.

Til § 83

    Lov om private registre gælder ikke for Færøerne, jf. lovens § 31. I stedet gælder lagtingslov nr. 107 af 15. november 1984 om private registre m.v. med senere ændringer.

    Lov om offentlige myndigheders registre er i medfør af lovens § 32 ved kongelig anordning nr. 385 af 1. juli 1988 sat i kraft for registre, der føres for rigsmyndighederne på Færøerne. Loven gælder ikke for registre, der føres for det færøske hjemmestyres myndigheder. I stedet gælder lagtingslov nr. 62 af 5. juni 1984 om offentlige myndigheders registre med senere ændringer.

    Lovforslagets § 83, 1. pkt., fastsætter på den baggrund, at loven ikke gælder for Færøerne, men at den ved kongelig anordning kan sættes i kraft for rigsmyndighedernes behandling af oplysninger på Færøerne med de afvigelser, som de særlige færøske forhold tilsiger.

    Hverken lov om private registre eller lov om offentlige myndigheders registre indeholder bestemmelser om lovenes gyldighed for Grønland.

    Det indebærer, at lov om private registre og lov om offentlige myndigheders registre gælder for Grønland.

    Det er dog alene den oprindelige lov om private registre og den oprindelige lov om offentlige myndigheders registre (hovedlovene), der gælder for Grønland, idet alle senere ændringer af de to love indeholder bestemmelser om, at de ikke gælder for Grønland.

    Grønlands hjemmestyre vil ved landstingslov kunne fastsætte regler om behandling af oplysninger, dog bortset fra rigsmyndighedernes behandling af personoplysninger i Grønland. I den forbindelse vil hjemmestyret kunne ændre eller ophæve reglerne i lov om private registre og lov om offentlige myndigheders registre, jf. hjemmestyrelovens § 19.

    Grønlands Hjemmestyre har under hensyn til, at registerområdet endnu ikke er overtaget af hjemmestyret som særanliggende anbefalet, at der indarbejdes en bestemmelse i lovforslaget, der giver mulighed for ved kongelig anordning at sætte loven om behandling af personoplysninger i kraft for hele Grønland og ikke blot for rigsmyndighederne.

    Det foreslås på denne baggrund, at loven om behandling af personoplysninger ved kongelig anordning kan sættes i kraft for hele Grønland med de afvigelser, som de særlige grønlandske forhold tilsiger, jf. lovforslagets § 83, 2. pkt.

    Det bemærkes, at den oprindelige lov om private registre og den oprindelige lov om offentlige myndigheders registre (hovedlovene) forbliver i kraft for Grønland, selv om lovene ophæves i Danmark i forbindelse med gennemførelsen af dette lovforslag. De nævnte love vil kunne ændres eller ophæves af hjemmestyret.

     

 


    

Bilag

+++FIGUR+++


 

Officielle noter

1) Loven gennemfører Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EF-tidende 1995 L 281, side 31 ff.).