Databeskyttelsesforordningen og de retlige rammer for dansk
lovgivning
Betnkning nr. 1565
Del I bind 1
Betnkning om
Databeskyttelsesforordningen (2016/679) og de retlige rammer for
dansk lovgivning
Del I, bind 1
Betnkning nr. 1565
Databeskyttelsesforordningen
Betnkning nr. 1565
Publikationen kan bestilles via Justitsministeriets
hjemmeside(www.justitsministeriet.dk)
eller hos
Rosendahls Lager og LogistikVandtrnsvej 83A2860 SborgTelefon 43
22 73 [email protected]://jm.schultzboghandel.dk
ISBN: 978-87-93469-10-5ISBN internet: 978-87-93469-11-5
Tryk: Rosendahls a/s
Pris: 300 kr. incl. moms
2
Indholdsfortegnelse
Del I: Databeskyttelsesforordningen og de retlige rammer for
dansk lovgivning
1. Indledning
....................................................................................................................
9
2. Forordningens kapitel I: Generelle bestemmelser
................................................. 21
2.1. Anvendelsesomrde, artikel 2 og
3.......................................................................
21
2.2. Rent privat karakter
..............................................................................................
39
2.3. Definitioner, artikel 4
...........................................................................................
43
2.4. Det danske registerbegreb
....................................................................................
74
3. Forordningens kapitel II: Principper
......................................................................
81
3.1. Principper for behandling af personoplysninger, artikel 5
og artikel 6, stk. 4 ..... 81
3.2. Forskning og statistik, artikel 5, stk. 1, litra b
.................................................... 102
3.3. Lovlig behandling af ikke-flsomme oplysninger, artikel 6,
stk. 1 .................... 113
3.4. Lovlig behandling af ikke-flsomme oplysninger nationalt
rderum, artikel 6,
stk. 2-3
.......................................................................................................................
141
3.5. Betingelser for samtykke, artikel 7
.....................................................................
170
3.6. Brns samtykke i forbindelse med
informationssamfundstjenester, artikel 8 .... 185
3.7. Flsomme oplysninger, artikel 9, stk. 1
.............................................................
189
3.8. Hjemler til behandling af flsomme oplysninger, artikel 9,
stk. 2-3 .................. 194
3.9. Medlemsstaternes rderum (ved behandling af flsomme
oplysninger), artikel 9,
stk. 4
..........................................................................................................................
231
3.10. Strafbare forhold, herunder straffe- og brneattester,
artikel 10, 1. pkt. .......... 233
3.11. Register over straffedomme, artikel 10, 2. pkt.
................................................ 248
3.12. Behandling, der ikke krver identifikation, artikel 11
..................................... 252
3.13. Retsinformation
................................................................................................
256
3
4. Forordningens kapitel III: Den registreredes rettigheder
................................... 262
4.1. Gennemsigtig oplysning, artikel 12
....................................................................
262
4.2. Processuelle sprgsml om registreredes rettigheder, artikel
12, stk. 3-8 .......... 265
4.3. Oplysningspligt ved indsamling hos den registrerede,
artikel 13 ....................... 279
4.4. Oplysningspligt, hvis personoplysningerne ikke er indsamlet
hos den registrerede,
artikel 14
....................................................................................................................
296
4.5. Indsigtsretten, artikel 15
.....................................................................................
312
4.6. Berigtigelse, artikel 16
........................................................................................
325
4.7. Ret til sletning (retten til at blive glemt), artikel 17
........................................ 330
4.8. Ret til begrnsning af behandling, artikel 18
..................................................... 338
4.9. Underretningspligt, artikel 19
.............................................................................
342
4.10. Retten til dataportabilitet, artikel 20
.................................................................
346
4.11. Ret til indsigelse, artikel 21
..............................................................................
355
4.12. Automatiske afgrelser, artikel
22....................................................................
370
4.13. Begrnsninger af rettighederne, artikel 23
...................................................... 389
5. Forordningens kapitel IV: Dataansvarlig og databehandler
.............................. 405
5.1. Den dataansvarliges ansvar, artikel 24
...............................................................
405
5.2. Databeskyttelse gennem design og standardindstillinger,
artikel 25 .................. 410
5.3. Flles dataansvar, artikel 26
..............................................................................
423
5.4. Reprsentanter, artikel 27
..................................................................................
426
5.5. Databehandler, artikel 28
....................................................................................
429
5.6. Instruks, artikel 29
..............................................................................................
442
5.7. Fortegnelser over behandlingsaktiviteter, artikel 30, stk.
1-4 ............................ 443
5.8. Fortegnelser over behandlingsaktiviteter undtagelsen i
artikel 30, stk. 5 ....... 464
5.9. Samarbejde med tilsynsmyndigheden, artikel 31
............................................... 467
5.10. Behandlingssikkerhed, artikel 32
.....................................................................
469
5.11. Anmeldelse af brud p sikkerheden, artikel 33
................................................ 490
5.12. Underretning om sikkerhedsbrud til den registrerede,
artikel 34 ..................... 506
5.13. Konsekvensanalyser vedrrende databeskyttelse, artikel 35
............................ 522
5.14. Hring af tilsynsmyndigheden, artikel 36
........................................................ 537
4
5.15. Krigsreglen
.......................................................................................................
544
5.16. Cloud computing
..............................................................................................
551
5.17. Privates forpligtelse til at udpege en
databeskyttelsesrdgiver, artikel 37 ....... 561
5.18. Offentlige myndigheder og organers forpligtelse til at
udpege en
databeskyttelsesrdgiver, artikel 37
...........................................................................
569
5.19. Artikel 37, stk. 4, bl.a. om muligheden for danske
srregler ........................... 573
5.20. Databeskyttelsesrdgiverens stilling og kvalifikationer,
artikel 37, stk. 5-6, og
artikel 38
....................................................................................................................
574
5.21. Databeskyttelsesrdgiverens opgaver, artikel 39 og 35, stk.
2 ......................... 585
5.22. Adfrdskodekser, artikel 40
.............................................................................
588
5.23. Kontrol af godkendte adfrdskodekser, artikel 41
........................................... 606
5.24. Certificering, artikel 42
....................................................................................
612
5.25. Certificeringsorganer, artikel 43
.......................................................................
622
6. Forordningens kapitel V: Overfrsler af personoplysninger til
tredjelande eller
internationale organisationer
.....................................................................................
630
6.1. Generelt princip for overfrsler, artikel 44
......................................................... 630
6.2. Overfrsler baseret p en afgrelse om tilstrkkeligheden
af
beskyttelsesniveauet, artikel 45
.................................................................................
638
6.3. Overfrsler omfattet af forndne garantier, artikel 46
....................................... 657
6.4. Bindende virksomhedsregler, artikel 47
.............................................................
670
6.5. Overfrsel uden hjemmel i EU-retten, artikel 48
............................................... 712
6.6. Undtagelser i srlige situationer, artikel 49
....................................................... 717
6.7. Internationalt samarbejde om beskyttelse af
personoplysninger, artikel 50 ....... 734
7. Forordningens kapitel VI: Uafhngige tilsynsmyndigheder
.............................. 739
7.1. Tilsynsmyndighed, artikel 51, 53 og 54
.............................................................
739
7.2. Uafhngighed, artikel 52
...................................................................................
748
7.3. Regler om oprettelse af en tilsynsmyndighed, artikel 54
................................... 766
7.4. Tilsynsmyndighedens kompetence, artikel 55 og 56
......................................... 769
7.5. Tilsynsmyndighedens opgaver, artikel 57
.......................................................... 773
7.6. benbart grundlse eller uforholdsmssige anmodninger, artikel
57, stk. 4 .... 783
5
7.7. Tilsynsmyndighedens befjelser, artikel 58
....................................................... 788
7.8. Adgang til oplysninger og lokaler, artikel 58, stk. 1,
litra e og f ........................ 807
7.9. Aktivitetsrapport, artikel 59
................................................................................
811
8. Forordningens kapitel VII: Samarbejde og sammenhng
................................. 814
8.1. Samarbejde mellem tilsynsmyndigheder, artikel
60........................................... 814
8.2. Gensidig bistand og flles aktiviteter, artikel 61 og 62
..................................... 821
8.3. Sammenhng, artikel 63-67
...............................................................................
832
8.4. Databeskyttelsesrdet, artikel 68 og artikel
70-76.............................................. 847
8.5. Databeskyttelsesrdets uafhngighed, artikel 69
............................................... 859
9. Forordningens kapitel VIII: Retsmidler, ansvar og sanktioner
......................... 862
9.1. Ret til at indgive klage, artikel 77
......................................................................
862
9.2. Adgang til effektive retsmidler over for en
tilsynsmyndighed, artikel 78 .......... 869
9.3. Effektive retsmidler over for en dataansvarlig eller
databehandler, artikel 79 .. 878
9.4. Reprsentation af den registrerede, artikel 80
................................................... 883
9.5. Udsttelse af en sag, artikel 81
..........................................................................
891
9.6. Ret til erstatning og erstatningsansvar, artikel 82
.............................................. 898
9.7. Generelle betingelser for plggelse af administrative bder,
artikel 83, stk. 16
...................................................................................................................................
918
9.8. Bder til offentlige myndigheder, artikel 83, stk. 7
........................................... 927
9.9. Proceduremssige garantier, artikel 83, stk. 8
................................................... 930
9.10. Administrative bder i Danmark, artikel 83, stk. 9
.......................................... 932
9.11. Sanktioner, artikel 84
........................................................................................
938
10. Forordningens kapitel IX: Bestemmelser vedrrende
specifikke
behandlingssituationer
................................................................................................
948
10.1. Rammerne i artikel 85 vedrrende ytrings- og
informationsfrihed .................. 948
10.2. Rammerne i artikel 86 om behandling og aktindsigt i
officielle dokumenter mv.
...................................................................................................................................
959
10.3. Rammerne i artikel 87 vedrrende nationalt
identifikationsnummer ............... 966
6
10.4. Rammerne i artikel 88 vedrrende behandling i forbindelse
med
ansttelsesforhold
.....................................................................................................
970
10.5. Rammerne i artikel 89, stk. 1 og 2 samt 4, vedrrende
videnskabelige og
historiske forskningsforml og statistiske forml
...................................................... 981
10.6. Rammerne i artikel 89, stk. 1 og 3 samt 4, vedrrende
arkivforml i samfundets
interesse
.....................................................................................................................
990
10.7. Rammerne i artikel 90 for nationale regler om
tilsynsmyndighedernes adgang til
oplysninger, som er underlagt tavshedspligt
.............................................................
995
10.8. Rammerne i artikel 91 vedrrende kirkers og religise
sammenslutningers
eksisterende databeskyttelsesregler
...........................................................................
998
11. Forordningens kapitel X og XI: Delegerede retsakter,
gennemfrelsesbestemmelser og afsluttende bestemmelser
..................................1000
12. Databeskyttelsesforordningen forordning (EU) 2016/679 af 27.
april 2016
om beskyttelse af fysiske personer i forbindelse med behandling
af
personoplysninger og om fri udveksling af sdanne oplysninger
......................... 1005
11.1. Forordningens kapitel X og XI om afsluttende bestemmelser
(artikel 92-99) .. 1000
7
1. Indledning
1.1. Den generelle EU-forordning om databeskyttelse
I januar 2012 fremsatte EU-Kommissionen forslag til en
databeskyttelsespakke. Pakken
blev endeligt vedtaget den 14. april 2016.
Pakken bestr navnlig af den generelle forordning nr. 2016/679 om
beskyttelse af person-
oplysninger, som skal glde i bde den private og offentlige
sektor (databeskyttelsesfor-
ordningen). Forordningen anvendes fra den 25. maj 2018.
Herudover bestr databeskyttel-
sespakken af et direktiv om beskyttelse af personoplysninger,
som skal glde for retshn-
dhvelsesomrdet (retshndhvelsesdirektivet).
Retshndhvelsesdirektivet er gennem-
frt i dansk ret ved lov nr. 410 af 27. april 2017 om
retshndhvende myndigheders be-
handling af personoplysninger.
Databeskyttelsesforordningen aflser databeskyttelsesdirektivet1,
som i dansk ret er gen-
nemfrt ved persondataloven, jf. lov nr. 429 af 31. maj 2000 om
behandling af personop-
lysninger.
Databeskyttelsesforordningen fastslr, at databeskyttelse er en
grundlggende rettighed
efter EU's Charter om grundlggende rettigheder og traktaten om
Den Europiske Unions
funktionsmde (TEUF). Som det nvnes i forordningens prambel, har
den hastige tekno-
logiske udvikling og globaliseringen skabt nye udfordringer,
hvad angr beskyttelse af
personoplysninger. Denne udvikling krver en strk og mere
sammenhngende databe-
skyttelsesramme i EU, som understttes af effektiv hndhvelse, for
at skabe den tillid, der
gr det muligt, at den digitale konomi kan udvikle sig p det
indre marked.
1.2. Justitsministeriets projektarbejde om indretning af dansk
lovgivning
efter databeskyttelsesforordningen
Databeskyttelsespakken blev som nvnt vedtaget den 14. april
2016, og Danmark havde
sledes fra denne dato ca. 2 r til at tilpasse dansk lovgivning
til reglerne i forordningen.
Som flge af denne relativt korte tidsramme for tilpasning af
dansk lovgivning til forord-
ningen, igangsatte Justitsministeriet et hurtigtarbejdende
projektarbejde, som skulle danne
grundlag for arbejdet med at tilpasse dansk lovgivning til
forordningen.
Justitsministeriet vurderede sledes, at det p grund af den korte
tidsramme ikke var muligt
at tilpasse dansk lovgivning til forordningen ved et
traditionelt udvalgsarbejde.
1 Europa-Parlamentet og Rdets direktiv 95/46/EF af 24. oktober
1995 om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri
udveksling af sdanne oplysninger.
9
Justitsministeriet vurderede endvidere, at projektarbejdets
analyser burde vre afsluttet
senest i maj 2017, idet det er hensigten, at de ndvendige
lovforslag vil blive fremsat i Fol-
ketinget i efterret 2017, sledes at der er tid til eventuelle
tilpasninger af procedurer hos
private virksomheder og myndigheder mv.
Som resultat af projektet med at tilpasse dansk lovgivning til
forordningen, besluttede Ju-
stitsministeriet, at der bl.a. skulle udarbejdes en betnkning
med de nrmere analyser af
forordningens bestemmelser, herunder forordningens rammer for
nationale srregler og en
analyse af konsekvenserne for gldende dansk lovgivning.
Endvidere skulle forordningens
nye srlige krav hurtigt beskrives og afklares med henblik p
vejledning.
I forbindelse med analyserne er der i vidt omfang taget stilling
til, om og i givet fald hvor-
dan der inden for rammerne af forordningen kan og skal
opretholdes og faststtes srlige
danske regler.
Projektets forml var sledes overordnet at sikre, at dansk
lovgivning kunne indrettes i
overensstemmelse med forordningens bestemmelser med virkning fra
den 25. maj 2018.
Projektarbejdets analyser er sammenstillet i denne
betnkning.
1.3. Organiseringen af projektarbejdet med
databeskyttelsesforordningen
Justitsministeriet har siden sommeren 2016 i samarbejde med
samtlige ministerier, KL og
Danske Regioner samt Erhvervsstyrelsen, Digitaliseringsstyrelsen
og Datatilsynet foretaget
et analysearbejde af forordningen.
Dette analysearbejde har foreget i et projekt med en styregruppe
og projektgrupper, som
har stet for arbejdet med databeskyttelsesforordningen.
Arbejdet i projektgrupperne har vret understttet af en rkke
arbejdsgrupper og en eks-
pertreferencegruppe.
Styregruppen
Styregruppen har overordnet vret ansvarlig for projektets
gennemfrelse og bestod af
afdelingschef for Justitsministeriets lovafdeling Jens Teilberg
Sndergaard, Datatilsynets
direktr Cristina Angela Gulisano, Digitaliseringsstyrelsens
direktr Lars Frelle-Petersen
og Erhvervsstyrelsens direktr Betina Hagerup.
10
Projektgrupperne
Projektet har vret opdelt i to projektgrupper, hvoraf den ene
arbejdede med forordningens
rammer for nationale srregler. Den anden gruppe arbejdede bl.a.
med bidrag fra den
frste projektgruppe med forordningens konsekvenser for den
generelle databeskyttelses-
lovgivning i Danmark.
Projektgrupperne har vret sammensat af medarbejdere fra
Justitsministeriet, Datatilsynet,
Digitaliseringsstyrelsen, Erhvervsstyrelsen,
Erhvervsministeriet, Skatteministeriet, Sund-
heds- og ldreministeriet, Danske Regioner og KL. Arbejdet i
projektgrupperne har vret
understttet af en rkke arbejdsgrupper.
Arbejdsgrupperne
Den projektgruppe, der behandlede sprgsmlet om rammerne for
nationale srregler, har
vret understttet af to arbejdsgrupper, mens projektgruppen, der
arbejdede med forord-
ningens konsekvenser for den generelle
databeskyttelseslovgivning, har vret understttet
af fem arbejdsgrupper inddelt efter forordningens forskellige
elementer (behandlingsregler
og rettigheder, behandlingssikkerhed, nye srlige krav,
erstatning og straf samt tilsyn).
Arbejdsgrupperne har vret sammensat af medarbejdere fra
Justitsministeriet, Datatilsynet,
Digitaliseringsstyrelsen, Erhvervsministeriet, samt i det omfang
andre ministerier, kom-
munerne (KL) og regionerne (Danske Regioner) vurderede det
relevant, medarbejde-
re/reprsentanter herfra.
Ekspertreferencegruppen
Arbejdet i projektgrupperne har vret understttet af en
ekspertreferencegruppe bestende
af kommitteret ved Folketingets Ombudsmand Jens Mller,
professor, dr.jur. Peter Blume,
professor, dr.jur. Henrik Udsen og ph.d. Gert Lsse Mikkelsen. En
lang rkke centrale
afsnit i betnkningen er efter godkendelse i projektgrupperne
blevet forelagt ekspertrefe-
rencegruppen. Ekspertreferencegruppen har sledes vret inddraget
i centrale afsnit i be-
tnkningens frste del vedrrende forordningens kapitel 1-4 og 6-9.
Der er i analysearbej-
det taget hjde for ekspertreferencegruppens bemrkninger, som er
indarbejdet i betnk-
ningen.
Herudover blev der i forbindelse med projektarbejdet afholdt
stormder, hvor bl.a. inte-
resseorganisationer, erhvervslivet og advokatkontorer med
speciale i persondataret var
reprsenteret.
11
I efterret 2016 blev der afholdt et workshop-forlb i regi af
Erhvervsstyrelsen, hvor er-
hvervslivet havde identificeret centrale problemstillinger for
erhvervslivet vedrrende for-
ordningen. I forlngelse heraf afholdt Justitsministeriet i
samarbejde med Erhvervsstyrel-
sen et stormde med deltagere fra erhvervslivet, hvor forelbige
konklusioner om centrale
problemstillinger blev prsenteret. Til stormderne blev der
endvidere stillet en rkke
konkrete sprgsml, som efterflgende er indget i
analysearbejdet.
I efterret 2016 blev der endvidere afholdt en rkke netvrksmder
for offentlige myndig-
heder i regi af Digitaliseringsstyrelsen, hvor offentlige
myndigheder havde identificeret
centrale problemstillinger for myndigheder vedrrende
forordningen. I forlngelse heraf
afholdt Justitsministeriet i samarbejde med
Digitaliseringsstyrelsen et netvrksmde, hvor
sprgsml om centrale problemstillinger blev besvaret.
Justitsministeriet har i forbindelse med analysearbejdet
deltaget aktivt i den af Kommissio-
nen nedsatte ekspertgruppe om databeskyttelsesforordningen,
bestende af EU-
Kommissionen og de 28 medlemslande, hvor knaster i forordningen
i forbindelse med
gennemfrelsen lbende bliver drftet.
Justitsministeriet har prioriteret dette arbejde hjt med henblik
p at varetage danske inte-
resser i forbindelse med fortolkningen af forordningen.
Justitsministeriet har i forbindelse med analysearbejdet
endvidere deltaget i en rkke m-
der med like-mindede lande, hvor den nationale gennemfrelse af
forordningen er blevet
drftet. Disse lande har vret Tyskland, Holland, Sverige,
Finland, Luxembourg og Irland.
Endvidere har der i forbindelse med arbejdet vret srskilte
drftelser om en lang rkke
centrale artikler i databeskyttelsesforordningen med bl.a.
Forbrugerrdet Tnk, Institut for
Menneskerettigheder og Rdet for Digital Sikkerhed. Der har ogs i
forbindelse med ar-
bejdet vret lbende drftelser med arbejdsmarkedets parter.
I lbet af analysearbejdet har Justitsministeriet endvidere
modtaget henvendelser fra en
rkke organisationer, institutioner mv. Dette glder bl.a. Dansk
Erhverv, Dansk Industri,
Indsamlingsorganisationernes Brancheorganisation, Forsikring og
Pension, Danske Advo-
kater, FSR, Finansrdet, Danske Medier, ATP og en rkke
forsyningsselskaber, som er
indget i analysearbejdet.
12
Illustration af projektarbejdet:
1.4. Betnkningens forml
Betnkningen tjener det forml at sikre forordningens korrekte
gennemfrelse i dansk ret,
herunder at analysere rammerne for bde indfrelse og
opretholdelse af nationale srreg-
ler, nr forordningen anvendes den 25. maj 2018.
Betnkningens analyser vil endvidere danne grundlag for
udarbejdelsen af en ny version af
persondataloven og flgelove med konsekvensrettelser.
Betnkningen skal sledes tjene som et centralt fortolkningsbidrag
til det videre arbejde
med forslagene.
Styregruppe:
Formand, Justitsministeriet (afdelingschef)
Datatilsynet (direktr)
Digitaliseringsstyrelsen (direktr)
Erhvervsstyrelsen (direktr)
Projektgruppe 2
Konsekvenser for den generelle
databeskyttelseslovgivning
Projektgruppe 1
Rammer for danske srregler
Ekspertreferencegruppe
Arbejdsgruppe
1. Regler om
behandling og
rettigheder
Arbejdsgruppe
2. Regler om
sikkerhed mv.,
herunder indbe-
retning til til-
synsmyndighe-
den
Arbejdsgruppe
3. Nye srlige
krav, herunder
om databeskyt-
telsesrdgivere
og risikoanalyse
Arbejdsgruppe
4. Erstatning og
straf
Arbejdsgruppe
5. Tilsyn
Stormder
Arbejdsgruppe
1. Om danske
srregler gene-
relt
Arbejdsgruppe
2. Regler om
forskning og
statistik samt
arkiv
Forbrugerrdet
Tnk, Institut for
Menneskerettigheder
og Rdet for Digital
Sikkerhed
13
Betnkningen er endelig tiltnkt at vre det retlige grundlag for
udarbejdelse af praktisk
anvendelige vejledninger, som man eksempelvis kender fra den
eksisterende vejledning til
bekendtgrelse nr. 528 af 15. juni 2000 om
sikkerhedsforanstaltninger til beskyttelse af
personoplysninger, som behandles for den offentlige forvaltning
(sikkerhedsvejledningen).
1.5. Betnkningens opbygning
Betnkningens frste del indeholder en nrmere analyse af den
gldende retstilstand og
forordningens bestemmelser, herunder forordningens rammer for
nationale srregler. Fr-
ste del af betnkningen er opdelt i kapitler, som svarer til
kapitlerne i databeskyttelsesfor-
ordningen.
Kapitlerne er endvidere opdelt i afsnit, der hovedsageligt er
opdelt efter artiklerne i forord-
ningen.
Hvert afsnit indeholder efter en indledning en redegrelse for
gldende ret i databe-
skyttelsesdirektivet og persondataloven med inddragelse af
relevante kilder ssom praksis
fra EU-Domstolen og Datatilsynet, diverse udtalelser fra Artikel
29-gruppen2 samt Regi-
sterudvalgets betnkning 1345/1997 om behandling af
personoplysninger.
Herefter er der i hvert afsnit oftest under overskriften
databeskyttelsesforordningen en
nrmere analyse af de pgldende bestemmelser i forordningen.
Endvidere indeholder hvert afsnit et overvejelsesafsnit. Disse
afsnit indeholder oftest en
summarisk konklusion p, om bestemmelserne i forordningen svarer
til, hvad der flger af
gldende ret, eller om der er tale om en nyskabelse. Eksempelvis
redegres der i afsnittene
vedrrende den registreredes rettigheder for, hvornr den
registreredes rettigheder adskiller
sig fra den gldende retstilstand efter persondataloven og
databeskyttelsesdirektivet, samt
hvornr der er tale om nye rettigheder. I overvejelsesafsnittene
overvejes det ogs sum-
marisk om en eventuel srlig dansk retstilstand vil kunne
opretholdes.
At betnkningen indeholder en udfrlig analyse af gldende ret i
forhold til bestemmel-
serne i forordningen tjener hovedsageligt to forml. For det
frste tjener analysen som et
bidrag til fortolkningen af forordningen, herunder srligt med en
afklaring af, hvor forord-
2 I medfr af databeskyttelsesdirektivet er der nedsat en "gruppe
vedrrende beskyttelse af personer i forbin-
delse med behandling af personoplysninger" den skaldte "Artikel
29-gruppe". Artikel 29-gruppen er rd-
givende og uafhngig og bestr af en reprsentant for den eller de
tilsynsmyndigheder, som hver medlems-
stat har udpeget, og af en reprsentant for den eller de
myndigheder, der er oprettet for fllesskabsinstitutio-
nerne og -organerne, samt af en reprsentant for Kommissionen.
Artikel 29-gruppen har vedtaget en rkke
henstillinger, udtalelser og notater, som bl.a. vedrrer
sprgsmlet om overfrsel af personoplysninger fra
EU-landene til andre lande.
14
ningen svarer til gldende ret, og hvor der er tale om en
nyskabelse. For det andet udgr
beskrivelsen af gldende ret et (ndvendigt) grundlag for
overvejelser om, i hvilket om-
fang der er behov for at tilpasse danske regler til
forordningen, herunder hvad det nationale
rderum for at faststte national srlovgivning er.
Betnkningens anden del indeholder en analyse af konsekvenserne
for gldende dansk
srlovgivning i forhold til forordningen inden for samtlige
ministeriers omrde. Anden del
af betnkningen indeholder en samlet overordnet vurdering af
gldende ret p de enkelte
ministeriers ressortomrde i forhold til forordningen, inklusiv
et bilag med angivelse af de
relevante love om behandling af personoplysninger og deres ophng
i databeskyttelsesfor-
ordningen.
De enkelte ministerier har sledes gennemget lovgivningen p
ministeriets ressortomrde
med henblik p at identificere bestemmelser, der regulerer
behandling af personoplysnin-
ger eller i vrigt har relation til forhold, som
databeskyttelsesforordningen regulerer, her-
under f.eks. den registreredes rettigheder. Ministerierne har i
samarbejde med Justitsmini-
steriet i den forbindelse vurderet, om de pgldende bestemmelser
kan opretholdes, nr
databeskyttelsesforordningen anvendes fra den 25. maj 2018.
Ministerierne har i samarbejde med Justitsministeriet vurderet,
at de fleste af de identifice-
rede bestemmelser om behandling af personoplysninger mv. kan
opretholdes, nr databe-
skyttelsesforordningen finder anvendelse.
I bilagene til kapitlerne fra de enkelte ministerier er oplistet
de hovedlove p ministeriets
omrde, hvor ministerierne har identificeret bestemmelser, som
regulerer behandling af
personoplysninger i selve loven. Ved de enkelte love er kort
anfrt, hvilke typer af behand-
linger loven regulerer, samt hvilke bestemmelser i
databeskyttelsesforordningen, der vur-
deres at hjemle behandlingerne fra den 25. maj 2018. Af bilagene
fremgr kun det enkelte
ministeriums love. Ministerierne har dog ogs foretaget en
gennemgang af, om bekendtg-
relser kan opretholdes, nr forordningen finder anvendelse.
1.6. Betnkningens konklusioner
Analysearbejdet har vist, at forordningen i vidt omfang svarer
til den gldende retstilstand
efter persondataloven og databeskyttelsesdirektivet med
tilhrende praksis fra bl.a. EU-
Domstolen og Datatilsynet. Bl.a. svarer forordningens centrale
bestemmelser om anvendel-
sesomrde, definitioner, principper for behandling af
personoplysninger, behandlingsreg-
ler, de registreredes rettigheder og behandlingssikkerhed i
stort omfang til gldende ret
efter persondataloven og databeskyttelsesdirektivet.
15
Derudover indeholder forordningen bestemmelser, som er en
nyskabelse i forhold til den
gldende retstilstand. Dette er eksempelvis bestemmelserne om
databeskyttelsesrdgivere,
konsekvensanalyse og fortegnelser over behandlingsaktiviteter
samt en udtrykkelig be-
stemmelse om data protection by design.
P den baggrund vil der for myndigheder og private
organisationer, der i forvejen lever op
til persondataloven, ikke med forordningen vre tale om
omfattende ndringer.
Der vil sikkert vre offentlige myndigheder og private
organisationer mv., som ikke p
nuvrende tidspunkt opfylder alle krav i persondataloven og
derfor ikke er compliant
med gldende ret. For disse offentlige myndigheder og private er
det oplagt, at der med
databeskyttelsesforordningen er skabt awareness eller bevidsthed
omkring betydnin-
gen af beskyttelse af personoplysninger. Dette er nok en
konsekvens af, at EU-lovgiver nu
har vedtaget en generel forordning om databeskyttelse, som bl.a.
indeholder mulighed for
at plgge strre bder for overtrdelse af forordningens
bestemmelser.3
1.7. Betnkningens retlige status
Betnkningens analyser er baseret p eksisterende retskilder.
Betnkningen vil sledes
ikke st alene som fortolkningsbidrag fremover.
Hvor retstilstanden ikke kan anses for entydig, indeholder
betnkningen i vidt omfang
forslag til mulige lsninger.
Det m forventes, at fortolkningen af forordningen p flere
punkter i de kommende r vil
blive udviklet gennem praksis fra bl.a. det med forordningen
nyoprettede Europiske Da-
tabeskyttelsesrd, EU-Domstolen, de danske domstole og
Datatilsynet.
Den nuvrende retstilstand er f.eks. baseret p meget f domme, og
det m forventes, at
der fremover vil komme flere domme fra bl.a. EU-Domstolen.
I det omfang, der kommer bindende afgrelser fra EU-Domstolen,
nationale domstole,
Databeskyttelsesrdet og den uafhngige tilsynsmyndighed mv., skal
betnkningens ana-
lyser naturligvis lses i lyset af den nye praksis.
3 Se i den forbindelse tilsvarende overvejelser hos professor
Peter Blume i Den nye persondataret, Personda-
taforordningen, Jurist- og konomforbundets Forlag, 2016, s. 195
(herefter Peter Blume, Den nye personda-
taret (2016)) og i Juristen, 2016, nr. 4, s. 169-176 (srligt s.
175).
16
Iflge artikel 288 i Traktaten om Den Europiske Unions
Funktionsmde (TEUF) er der
forskel p, om et omrde harmoniseres ved et direktiv eller en
forordning.
Det flger af artikel 288, 3. pkt., i TEUF, at et direktiv med
hensyn til det tilsigtede ml er
bindende for enhver medlemsstat, som det rettes til, men
overlader det til de nationale
myndigheder at bestemme form og midler for gennemfrelsen.
Det indebrer bl.a., at et direktiv, som indeholder rettigheder
og pligter for borgerne og
virksomhederne, skal gennemfres enten ved lov eller ved en
bekendtgrelse med hjemmel
i lov.4
Til forskel fra et direktiv er en forordning iflge TEUF artikel
288, 1. og 2. pkt., almengyl-
dig, og er bindende i alle enkeltheder og glder umiddelbart i
hver medlemsstat.
En forordning virker sledes som en lov i medlemsstaterne, og den
glder i den form, som
den er vedtaget, og den m som udgangspunkt ikke gennemfres i
national ret. Medlems-
staterne kan sledes ikke udstede bindende fortolkningsregler,
selv om forordningen mtte
give anledning til tvivl.5 Medlemsstaterne vil imidlertid kunne
udstede vejledninger, der
efter deres karakter ikke er bindende, jf. f.eks. vejledning nr.
145 af 21. december 2006 om
dyretransportforordningen (forordning nr. 1/2005).
Ud over, at en forordning som udgangspunkt ikke m gennemfres i
medlemsstaterne, vil
medlemsstaternes modstridende lovgivning blive fortrngt af en
forordning, hvorfor det
vil vre ndvendigt at ophve denne lovgivning sledes, at der ikke
opstr nogen usikker-
hed om retstilstanden. Ophvelsen skal ske enten ved lov eller
ved bekendtgrelse med
hjemmel i lov. Forordningen vil sledes ikke i sig selv vre en
tilstrkkelig hjemmel til at
ophve lovgivning.6
Ofte skal der dog, som det er tilfldet med
databeskyttelsesforordningen, udfrdiges sup-
plerende nationale bestemmelser, f.eks. om hvilken myndighed der
skal administrere for-
ordningen, sanktioner og kontrol. Som det endvidere er tilfldet
med databeskyttelsesfor-
ordningen, hnder det ogs, at en forordning efter sit indhold
forudstter, at medlemssta-
terne skal faststte nrmere regler, der gennemfrer forordningens
mere overordnede re-
gulering. P dette punkt vil forordningen herved svare til et
direktiv.
4 Nina Holst-Christensen, Skriftlig jura Den juridiske
fremstilling, EU-Lovteknik, 2013, s. 470 f.
5 Nina Holst-Christensen, Skriftlig jura Den juridiske
fremstilling, EU-Lovteknik, 2013, s. 487 f. og Jens
Hartig Danielsen m.fl., EU-retten, 6. udgave, 2014, s. 96. 6
Nina Holst-Christensen, Skriftlig jura Den juridiske fremstilling,
EU-Lovteknik, 2013, s. 489.
1.8. Nrmere om forordningens gennemfrelse i dansk ret
17
Der kan i forbindelse med udarbejdelse af den supplerende danske
lovgivning opst behov
for at gengive dele af eller hele forordningen i en lov eller
bekendtgrelse. EU-Domstolen
anerkender, at en sdan gengivelse kan finde sted, blot det
udtrykkeligt anfres i loven
eller bekendtgrelsen, at der er tale om en gengivelse af en
forordning.7 I databeskyttelses-
forordningens prambelbetragtning nr. 8 er det prciseret, at
forordningens bestemmelser
kan gengives i nationale regler, i det omfang det er ndvendigt
af hensyn til sammenhn-
gen og for at gre de nationale bestemmelser forstelige for de
personer, som de finder
anvendelse p.
Som flge af databeskyttelsesforordningens almengyldighed vil
forordningen som ud-
gangspunkt fortrnge danske regler, der regulerer de samme
forhold som forordningen.
Danmark er dermed forpligtet til at indrette dansk lovgivning i
overensstemmelse med for-
ordningens bestemmelser med virkning fra den 25. maj 2018.
Som det ses p baggrund af gennemgangen af forordningens
bestemmelser i denne be-
tnkning, er der imidlertid en rkke undtagelser i
databeskyttelsesforordningen til dette
udgangspunkt, idet visse regler i forordningen bestemmer, at
medlemsstaterne inden for
nrmere bestemte omrder enten skal eller kan faststte nationale
regler.
Bestemmelserne i forordningen, hvorefter medlemsstaterne kan
eller skal faststte nationa-
le regler, kan opdeles i fire forskellige kategorier.
I den ene kategori er der en rkke bestemmelser i forordningens
artikel 6, stk. 2 og 3, arti-
kel 9, stk. 2-4, artikel 87, 88 og 90, der bemyndiger
medlemsstaterne til at faststte mere
specifikke bestemmelser inden for rammerne af forordningens
harmonisering. Medlems-
staterne har mulighed for at udnytte dette nationale rderum, men
de er ikke forpligtede
hertil.
En anden kategori er bestemmelserne i forordningens artikel 8,
stk. 1, artikel 36, stk. 5,
artikel 37, stk. 4, artikel 49, stk. 5, artikel 80, stk. 2, og
artikel 83, stk. 7 og 9, der giver
medlemsstaterne eksplicitte muligheder for at foretage nogle
valg ved lov eller regler fast-
sat med hjemmel i lov. F.eks. kan medlemsstaterne efter artikel
8, stk. 1, vlge en lavere
aldersgrnse end 16 r for, hvornr et barn kan give samtykke til
behandling af personop-
lysninger i forbindelse med udbud af
informationssamfundstjenester direkte til brn. End-
videre kan medlemsstaterne eksempelvis efter artikel 49, stk. 5,
under visse betingelser
7 Nina Holst-Christensen, Skriftlig jura Den juridiske
fremstilling, EU-Lovteknik, 2013, s. 487 f. I det til-
flde, hvor forordningen gengives, skal det fremg af en note, at
bestemmelserne stammer fra en forordning,
og at gengivelsen er begrundet i praktiske hensyn.
18
udtrykkeligt faststte grnser for overfrsel af srlige kategorier
af oplysninger til et tred-
jeland eller en international organisation.
En tredje kategori er bestemmelserne i forordningens artikel 23
og artikel 89, stk. 2 og 3,
hvorefter medlemsstaterne kan faststte regler om begrnsninger og
undtagelser til en
rkke forpligtelser og rettigheder, f.eks. undtagelser til eller
begrnsninger i forpligtelsen
til at give den registrerede oplysninger i forbindelse med
indsamling af personoplysninger
eller begrnsninger i retten for den registrerede til indsigt i
oplysninger om sig selv.
Den sidste, fjerde kategori er bestemmelserne i forordningens
artikel 43, stk. 1, artikel 51,
stk. 1 og 3, artikel 52, stk. 2-4, artikel 53, stk. 1, artikel
54, stk. 1, artikel 84 og artikel 85,
stk. 1 og 2, som skal gennemfres ved lov af medlemsstaterne.
Efter artikel 51, stk. 1 og 3,
skal medlemsstaterne eksempelvis faststte bestemmelser om
udpegning eller oprettelse af
en eller flere uafhngige tilsynsmyndigheder.
Forpligtelserne og mulighederne i forordningen for
medlemsstaterne til at faststte natio-
nale regler modsvares i et vist omfang af forpligtelser for
medlemsstaterne i forordningens
artikel 49, stk. 5, artikel 51, stk. 4, artikel 83, stk. 9,
artikel 84, artikel 85, stk. 1 og 2, arti-
kel 88, stk. 3, og artikel 90, stk. 2, til at give Kommissionen
meddelelse om de regler, de
faststter (notifikationsforpligtelser). Medlemsstaterne skal
sledes f.eks., hvis de benytter
muligheden i artikel 49, stk. 5, for udtrykkeligt at faststte
grnser for overfrsel af srli-
ge kategorier af oplysninger til et tredjeland mv., efter samme
bestemmelse give Kommis-
sionen meddelelse herom, ligesom medlemsstaterne efter artikel
51, stk. 4, senest den 25.
maj 2018 skal give Kommissionen meddelelse om de bestemmelser,
de vedtager p bag-
grund af forpligtelsen hertil i artikel 51, stk. 1 og 3.
Udgangspunktet for persondataloven er, at de regler, der glder
inden for lovens alminde-
lige anvendelsesomrde efter lovens 1, stk. 1, som svarer til
forordningens anvendelses-
omrde, skal ophves.
Det betyder som udgangspunkt, at regler i den gldende
persondatalov ikke kan best efter
den 25. maj 2018, hvorfra forordningen skal anvendes.
Dog er der som anfrt bestemmelser i forordningen, som skal
gennemfres i dansk ret, og
bestemmelser, som giver mulighed for at faststte srlige danske
regler af mere generel og
tvrgende karakter. Nogle af sdanne danske regler faststtes mest
hensigtsmssigt i en
generel lov ssom en ndret eller ny lov om behandling af
personoplysninger, f.eks. regler
om oprettelse af en uafhngig dansk tilsynsmyndighed. Det er som
nvnt i databeskyttel-
sesforordningens prambelbetragtning nr. 8 prciseret, at
forordningens bestemmelser kan
19
gengives i nationale regler, i det omfang det er ndvendigt af
hensyn til sammenhngen og
for at gre de nationale bestemmelser forstelige for de personer,
som de finder anvendelse
p.
Der vil p den baggrund fortsat vre behov for en generel lov om
behandling af personop-
lysninger, hvori sdanne bestemmelser af mere generel, tvrgende
karakter faststtes.
Herudover kan der hvis der er et politisk nske herom vre behov
at viderefre regler i
persondataloven, der i medfr af lovens 1 glder p omrder, som
falder uden for for-
ordningens anvendelsesomrde, og dermed ikke skal ophves eller
ndres som flge af
forordningen.
20
2. Forordningens kapitel I: Generelle bestemmelser
2.1. Anvendelsesomrde, artikel 2 og 3
2.1.1. Prsentation
Persondatalovens materielle anvendelsesomrde flger af lovens 1.
I lovens 2 flger en
rkke undtagelser til anvendelsesomrdet. Derudover flger
persondatalovens territoriale
anvendelsesomrde af lovens 4.
Da persondataloven gennemfrer databeskyttelsesdirektivet, er
anvendelsesomrdet srligt
fastsat under hensyn til direktivets anvendelsesomrde. Dog glder
persondataloven i vi-
dere omfang end forudsat efter direktivet.
Databeskyttelsesforordningens anvendelsesomrde, som flger af
forordningens artikel 2
om det materielle anvendelsesomrde og artikel 3 om det
territoriale anvendelsesomrde,
svarer i vidt omfang til direktivets anvendelsesomrde.
2.1.2. Gldende ret
2.1.2.1. Materielt anvendelsesomrde
databeskyttelsesdirektivet
Databeskyttelsesdirektivets bestemmelser anvendes iflge
direktivets artikel 3, stk. 1, p
behandling af personoplysninger, der helt eller delvis foretages
ved hjlp af edb, samt p
ikke-elektronisk behandling af personoplysninger, der er eller
vil blive indeholdt i et regi-
ster.
Definitionen af begreberne personoplysning, behandling og
register flger af direktivets
artikel 2, litra a- litra c.
Af direktivets artikel 3, stk. 2, flger en rkke undtagelser i
forhold til de behandlinger af
personoplysninger, der er omfattet af stk. 1.
2.1.2.2. Aktiviteter, der ikke er omfattet af
fllesskabsretten
Iflge artikel 3, stk. 2, 1. pind, glder direktivet ikke for
behandling af personoplysninger,
som ivrksttes med henblik p udvelse af aktiviteter, der ikke er
omfattet af flles-
skabsretten, som f.eks. de aktiviteter, der er fastsat i
(dagldende) afsnit V og VI i traktaten
om Den Europiske Union, og under ingen omstndigheder for
behandling, der vedrrer
den offentlige sikkerhed, forsvar, statens sikkerhed (herunder
statens konomiske interes-
21
ser, nr behandlingen er forbundet med sprgsml vedrrende statens
sikkerhed) og statens
aktiviteter p det strafferetlige omrde.8
I sag C-101/01, Lindqvist, dom af 6. november 2003, undersgte
EU-Domstolen, om be-
handling af personoplysninger som led i frivillige og religise
aktiviteter kunne anses for at
vre aktiviteter, der ikke var omfattet af fllesskabsretten i den
forstand, hvori udtrykket
er anvendt i direktivets artikel 3, stk. 2, 1. pind.9
I sagen havde en person oprettet hjemmesider p internettet for
at gre det let for menig-
hedsmedlemmer at forberede konfirmation. Hjemmesiderne indeholdt
oplysninger om bl.a.
18 kolleger, herunder med navn og oplysning om kollegernes
arbejdsopgaver og fritidsva-
ner. I flere tilflde var ogs deres telefonnummer og
familieforhold anfrt. Endelig var der
om en af kollegerne oplyst, at hun havde beskadiget foden og var
delvist sygemeldt.
I sagen henviste EU-Domstolen bl.a. til, at de aktiviteter, der
er nvnt som eksempler i
denne bestemmelse, dvs. aktiviteter vedrrende den offentlige
sikkerhed, forsvar, statens
sikkerhed og statens aktiviteter p det strafferetlige omrde,
under alle omstndigheder er
statens eller statslige myndigheders aktiviteter og ikke har
noget at gre med omrdet for
den enkelte borgers aktiviteter.10
EU-Domstolen fastslog, at de aktiviteter, der er nvnt som
eksempler i direktivets artikel
3, stk. 2, 1. pind, skal fastlgge rkkevidden af de undtagelser,
der er fastsat heri, sledes
at denne undtagelse kun finder anvendelse p aktiviteter, der
udtrykkeligt er nvnt i be-
stemmelsen, eller som kan henfres til samme kategori.11
Om baggrunden for domstolens konklusion fremgr det, at det
retsgrundlag i traktaten,
som databeskyttelsesdirektivet er udstedt med hjemmel i
(dagldende artikel 100 A i EF-
traktaten), ikke forudstter, at der altid skal foreligge en
tilknytning til den frie bevgelig-
hed mellem medlemsstater.
I prmisserne om baggrunden for EU-Domstolens konklusion henvises
bl.a. til de forene-
de sager C-465/00, C-138/01 og C-139/01, sterreichischer
Rundfunk m.fl., dom af 20.
maj 2003.12
8 Herved ogs databeskyttelsesdirektivets prambelbetragtning nr.
12 og 13.
9 Sag C-101/01, Lindqvist-sagen, prmis 39.
10 Sag C-101/01, Lindqvist-sagen, prmis 43.
11 Sag C-101/01, Lindqvist-sagen, prmis 44.
12 Sag C-101/01, Lindqvist-sagen, prmis 40-41.
22
Denne sag vedrrte en pligt i strigsk ret, som offentlige
institutioner, der er undergivet
Rechnungshofs (den strigske rigsrevision) revision, havde til at
give meddelelse om de
indkomster og pensioner over en bestemt strrelse, som de
udbetalte til deres ansatte og
tidligere ansatte, samt om modtagernes navne med henblik p
udarbejdelse af en rsberet-
ning, der skulle forelgges for Nationalrat (Nationalrdet),
Bundesrat (Forbundsrdet) og
for Landtagen (delstatsparlamenterne) og stilles til rdighed for
offentligheden.
EU-Domstolen fastslog, at det, der er afgrende for, om det er
berettiget at anvende det
pgldende retsgrundlag i traktaten til at udstede direktivet, er,
at retsakten har til forml at
skabe bedre vilkr for det indre markeds oprettelse og funktion.
Endvidere fremgr det, at
anvendelsen af databeskyttelsesdirektivet sledes ikke afhnger
af, om der konkret er en
tilstrkkelig tilknytning til udvelsen af de grundlggende
rettigheder i traktaten, navnlig
arbejdskraftens frie bevgelighed. Risikoen ved en modsat
fortolkning ville iflge domsto-
len vre, at grnserne for anvendelsesomrdet ville blive srdeles
usikre og uberegnelige,
hvilket ville vre uforeneligt med direktivets grundlggende
forml, der er at foretage en
indbyrdes tilnrmelse af medlemsstaternes nationale love og
administrative bestemmelser
for at fjerne de hindringer for det indre markeds funktion, der
netop hidrrer fra forskellene
i de nationale lovgivninger.
Desuden fremgr det, at domstolens forstelse af direktivets
artikel 3, stk. 1, bl.a. bekrftes
af bestemmelsens ordlyd, som indeholder en meget bred definition
af direktivets anvendel-
sesomrde, idet den ikke gr anvendelsen af beskyttelsesreglerne
betinget af, at behandlin-
gen faktisk har tilknytning til den frie bevgelighed mellem
medlemsstaterne. Desuden
bekrftes forstelsen iflge domstolen af direktivets artikel 8,
stk. 2, som omhandler be-
handlingen af srlige kategorier af oplysninger, og navnlig
undtagelserne i stk. 2, litra d,
som vedrrer behandling, der foretages af en stiftelse, en
forening eller andet almennyttigt
organ, hvis sigte er af politisk, filosofisk, religis eller
faglig art. Domstolen henviser yder-
ligere til de forml, der kommer til udtryk i direktivets artikel
7, litra a og e, og i artikel 13,
litra e og f.13
I Lindqvist-sagen fastslog Domstolen bl.a. p baggrund af dommen
i sagerne sterrei-
chischer Rundfunk m.fl., at udtrykket, aktiviteter, der ikke er
omfattet af fllesskabsret-
ten, ikke skal fortolkes sledes, at det i hvert enkelt tilflde
skal efterprves, om den p-
gldende specifikke aktivitet direkte pvirker den frie
bevgelighed mellem medlemssta-
terne.14
Det fremgr sledes tydeligt, at det bl.a. ikke er afgrende for
direktivets anvendel-
se, om der er en grnseoverskridende aktivitet.
13
De forenede sager C-465/00, C-138/01 og C-139/01,
sterreichischer Rundfunk m.fl., prmis 41-46. 14
Sag C-101/01, Lindqvist-sagen, prmis 42.
23
2.1.2.3. Aktiviteter af rent privat karakter
Databeskyttelsesdirektivet glder iflge direktivets artikel 3,
stk. 2, 2. pind, ikke for be-
handling af personoplysninger, som foretages af en fysisk person
med henblik p udvelse
af rent personlige eller familiemssige aktiviteter. I
direktivets prambelbetragtning nr. 12
er det anfrt, at dette f.eks. er korrespondance og fring af
adressefortegnelser.
For nrmere om denne undtagelse henvises til afsnit 2.2. om rent
privat karakter.
2.1.2.4. Territorialt anvendelsesomrde
I databeskyttelsesdirektivets artikel 4 er der regler om
direktivets territoriale anvendelses-
omrde.
Iflge direktivets artikel 4, stk. 1, litra a, anvender
medlemsstaterne de nationale bestem-
melser, som de vedtager til gennemfrelse af direktivet, p
behandling af personoplysnin-
ger, der foretages som led i en virksomheds eller et organs
aktiviteter inden for den med-
lemsstats omrde, hvor den dataansvarlige er etableret. For en
dataansvarlig, som er etab-
leret p flere medlemsstaters omrde, flger det endvidere af
bestemmelsen, at denne skal
trffe de ndvendige foranstaltninger til at sikre, at hver af
disse virksomheder eller orga-
ner opfylder kravene i den gldende nationale lovgivning.
Definitionen af en dataansvarlig flger af direktivets artikel 2,
litra d.
I direktivets prambelbetragtning nr. 19 er det nrmere angivet,
at der ved etablering p
en medlemsstats omrde forsts faktisk udvelse af aktiviteter
gennem en mere permanent
struktur. Endvidere er det heri angivet, at den pgldende
strukturs retlige form, hvad en-
ten det blot er en filial eller et datterselskab med status som
juridisk person, ikke har afg-
rende betydning i denne forbindelse. Det er tillige anfrt, at en
dataansvarlig, som er etab-
leret p flere medlemsstaters omrde, isr i form af
datterselskaber, navnlig for at undg
omgelse, skal sikre sig, at hver enkelt struktur opfylder
kravene i den gldende nationale
lovgivning.
I sag C-131/12, Google Spain, dom af 13. maj 2014, har
EU-Domstolen fastslet, at der
ikke skal meget til, fr der er tale om behandling af
personoplysninger, der foretages som
led i en virksomheds aktiviteter, nr en dataansvarlig i et
tredjeland etablerer en filial eller
et datterselskab i en medlemsstat, nr aktiviteterne hos
henholdsvis den dataansvarlige og
henholdsvis filialen eller databehandleren er ulseligt
forbundne.15
I sagen fandt EU-
Domstolen bl.a., at databeskyttelsesdirektivets artikel 4, stk.
1, litra a, skal fortolkes sle-
15
Sag C-131/12, Google Spain, prmis 50-60.
24
des, at en behandling af personoplysninger foretages som led i
aktiviteter, der inden for en
medlemsstats omrde udfres af en dataansvarligs virksomhed eller
organ som omhandlet i
bestemmelsen, nr en sgemaskineudbyder etablerer en filial eller
et datterselskab i en
medlemsstat, der skal srge for reklame og salg af reklameplads i
sgemaskinen, og hvis
aktivitet er rettet mod indbyggerne i denne medlemsstat.16
I sag C-230/14, Weltimmo, dom af 1. oktober 2015, har
EU-Domstolen udtalt, at der med
henblik p at fastsl, om en dataansvarlig er etableret i en
medlemsstat, br foretages en
vurdering af, i hvor hj grad strukturen er permanent, og i
hvilken grad der faktisk udves
aktiviteter i denne anden medlemsstat, idet der i den
forbindelse skal tages hensyn til den
specifikke karakter af de pgldende konomiske aktiviteter og de
pgldende tjeneste-
ydelser, hvilket navnlig gr sig gldende for virksomheder, der
udelukkende udbyder tje-
nesteydelser p nettet.17
Endvidere m det iflge domstolen i den henseende bl.a. i
lyset
af det forml, der forflges med databeskyttelsesdirektivet, om at
sikre en effektiv og fuld-
stndig beskyttelse af retten til privatlivets fred og undg
omgelse antages, at tilstede-
vrelsen af en enkelt reprsentant under visse omstndigheder kan
vre tilstrkkeligt til
at udgre en permanent struktur, sfremt denne reprsentant optrder
med en tilstrkkelig
grad af stabilitet og under tilstedevrelse af de midler, der er
ndvendige for at kunne leve-
re de pgldende konkrete tjenesteydelser i den pgldende
medlemsstat.18
Desuden m
det iflge domstolen med henblik p at realisere det nvnte forml
antages, at begrebet
etablering, som omhandlet i databeskyttelsesdirektivet, omfatter
enhver, selv minimal,
reel og faktisk aktivitet, der udves via en permanent
struktur.19
Endvidere fremgr det af EU-Domstolens dom i sag C-191/15,
Amazon, dom af 28. juli
2016, at selv om det ikke er udelukket, at en virksomhed i et
tredjeland, der hverken har et
datterselskab eller en filial i en medlemsstat, kan anses for
etableret i Unionen, er den blot-
te omstndighed, at der er adgang til den pgldende virksomheds
hjemmeside fra denne
medlemsstat, ikke tilstrkkeligt for at anse virksomheden for
omfattet af direktivets artikel
4, stk. 1, litra a.20
Mens databeskyttelsesdirektivets artikel 4, stk. 1, litra a,
vedrrer dataansvarlige etableret
inden for EU, omhandler artikel 4, stk. 1, litra b og c,
dataansvarlige etableret i et tredje-
land.
16
Sag C-131/12, Google Spain, prmis 60. 17
Sag C-230/14, Weltimmo, prmis 29. 18
Sag C-230/14, Weltimmo, prmis 30. 19
Sag C-230/14, Weltimmo, prmis 31. 20
Sag C-191/15, Amazon, prmis 76.
25
Iflge artikel 4, stk. 1, litra b, anvender medlemsstaterne de
nationale bestemmelser, som
de vedtager til gennemfrelse af direktivet, p behandling af
personoplysninger, der fore-
tages af en dataansvarlig, der ikke er etableret p den pgldende
medlemsstats omrde,
men p et sted, hvor dens nationale lovgivning glder i henhold
til folkeretten.
Endvidere anvender medlemsstaterne iflge artikel 4, stk. 1,
litra c, de nationale bestem-
melser, som de vedtager til gennemfrelse af direktivet, p
behandling af personoplysnin-
ger, der foretages af en dataansvarlig, der ikke er etableret p
Fllesskabets omrde, og
som med henblik p behandling af personoplysninger anvender
midler, det vre sig elek-
troniske eller ikke-elektroniske, som befinder sig p den
pgldende medlemsstats omr-
de, medmindre disse midler kun benyttes med henblik p
forsendelse gennem Det Europ-
iske Fllesskabs omrde. I sdanne tilflde skal den dataansvarlige
iflge direktivets arti-
kel 4, stk. 2, udpege en reprsentant, der er etableret p den
pgldende medlemsstats
omrde, uden at dette i vrigt berrer eventuelle retslige skridt
mod den dataansvarlige
selv.
2.1.2.5. Direktivet i forhold til Frerne og Grnland
I Registerudvalgets betnkning nr. 1345 adresseres det srlige
sprgsml om databeskyt-
telsesdirektivet i forhold til Frerne og Grnland. Af betnkningen
fremgr det, at det
under hensyn til Grnlands og Frernes srlige retsstilling i
relation til Det Europiske
Fllesskab, jf. artikel 136 a og 227 i traktaten om Det Europiske
Fllesskab, m Frer-
ne og Grnland efter Registerudvalgets opfattelse antages at
skulle anses for tredjelande i
direktivets forstand.21
I den forbindelse kan det bemrkes, at Frerne efterflgende i
henhold til databeskyttelsesdirektivets artikel 25, stk. 6, er
godkendt af Kommissionen som
et tredjeland med et tilstrkkeligt beskyttelsesniveau.
2.1.2.6. Materielt anvendelsesomrde persondataloven
I persondatalovens kapitel 1 fastlgges lovens materielle
anvendelsesomrde. Lovens terri-
toriale anvendelsesomrde flger af lovens kapitel 3.
Iflge persondatalovens 1, stk. 1, glder loven for behandling af
personoplysninger, som
helt eller delvis foretages ved hjlp af elektronisk
databehandling, og for ikke-elektronisk
behandling af personoplysninger, der er eller vil blive
indeholdt i et register. Det fremgr
af bemrkningerne til persondataloven, at bestemmelsen fastlgger
lovens almindelige
anvendelsesomrde under hensyn til anvendelsesomrdet i
databeskyttelsesdirektivets arti-
kel 3.22
21
Registerudvalgets betnkning 1345/1997 om behandling af
personoplysninger, s. 224. 22
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147,
FT 1999/00, de specielle bemrkninger til 1,
stk. 1.
26
Begreberne personoplysninger, behandling og register er nrmere
defineret i person-
datalovens 3, nr. 1-3.
Herudover glder reglerne i persondataloven ogs p en rkke omrder,
jf. lovens 1, stk.
2-5 og 8, som ikke er forudsat efter direktivet. Iflge
persondatalovens 1, stk. 2, glder
loven dog ikke lovens kapitel 8 og 9 for anden ikke-elektronisk
systematisk behand-
ling, som udfres for private, og som omfatter oplysninger om
personers private eller ko-
nomiske forhold eller i vrigt oplysninger om personlige forhold,
som med rimelighed kan
forlanges unddraget offentligheden. Endvidere glder
persondatalovens 5, stk. 1-3, 6-
8, 10, 11, stk. 1, 38 og 40 iflge lovens 1, stk. 3, for manuel
videregivelse af per-
sonoplysninger til en anden forvaltningsmyndighed.
Persondataloven glder ogs i et vist omfang for oplysninger om
virksomheder mv. Iflge
lovens 1, stk. 4, glder loven for behandling af oplysninger om
virksomheder mv., jf.
1, stk. 1 og 2, som foretages for kreditoplysnings- og
advarselsbureauer. Det fremgr af
bemrkningerne til persondataloven, at det med henvisningen i 1,
stk. 4, til stk. 1 og 2,
prciseres, at udvidelsen af lovens omrde til ogs at ang
behandling af oplysninger om
juridiske personer kun glder for s vidt angr de
behandlingsformer, som i vrigt er om-
fattet af loven.23
Justitsministeren kan i medfr af persondatalovens 1, stk. 6,
uden for de
i stk. 4 nvnte tilflde bestemme, at lovens regler helt eller
delvis skal finde anvendelse p
behandling af oplysninger om virksomheder mv., som udfres for
private.
Persondataloven glder tillige iflge lovens 1, stk. 5, for
offentlige myndigheders vide-
regivelse til kreditoplysningsbureauer af oplysninger om
virksomheder mv. angende gld
til det offentlige, hvis oplysningerne behandles helt eller
delvis elektronisk eller er eller vil
blive indeholdt i et register, jf. henvisningen til stk. 1 i
bestemmelsen. Vedkommende mi-
nister kan i medfr af persondatalovens 1, stk. 7, uden for de i
stk. 5 nvnte tilflde be-
stemme, at lovens regler helt eller delvis skal finde anvendelse
p behandling af oplysnin-
ger om virksomheder mv., som udfres for den offentlige
forvaltning.
Endelig glder persondataloven iflge lovens 1, stk. 8, for enhver
form for behandling af
personoplysninger i forbindelse med tv-overvgning. Det flger af
bemrkningerne til
persondataloven, at bestemmelsen er indsat med henblik p, at
lovens omrde skal omfatte
behandling af personoplysninger i forbindelse med offentlige
myndigheders tv-
23
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147,
FT 1999/00, de specielle bemrkninger til 1,
stk. 3.
27
overvgning med analogt udstyr og tv-overvgning med analogt
udstyr, der foretages for
private, hvor oplysningerne ikke behandles systematisk.24
2.1.2.7. Undtagelser fra det materielle anvendelsesomrde
Persondatalovens 2 indeholder regler om undtagelser fra
persondatalovens materielle
anvendelsesomrde.
Iflge lovens 2, stk. 1, gr regler om behandling af
personoplysninger i anden lovgiv-
ning, som giver den registrerede en bedre retsstilling, forud
for reglerne i persondataloven.
Det indebrer bl.a., at sundhedspersoners videregivelse af
fortrolige oplysninger afgres
efter sundhedsloven, at reglerne om tavshedspligt i den
finansielle lovgivning gr forud for
persondataloven, samt at sprgsml om videregivelse af oplysninger
i ansgningssager i
den offentlige sektor reguleres af forvaltningslovens 29.
Bestemmelsen indebrer, at persondataloven finder anvendelse,
hvis regler om behandling
af personoplysninger i anden lovgivning giver den registrerede
en drligere retsstilling. Det
fremgr imidlertid af bemrkningerne til persondataloven, at dette
ikke glder, hvis den
drligere retsstilling har vret tilsigtet og i vrigt ikke strider
mod databeskyttelsesdirekti-
vet.25
Endvidere flger det af persondatalovens 2, stk. 2, at loven ikke
finder anvendelse, hvis
det vil vre i strid med informations- og ytringsfriheden, jf.
Den Europiske Menneskeret-
tighedskonventions artikel 10. Herom fremgr det af bemrkningerne
til persondataloven,
at bestemmelsen er indsat for at fjerne enhver tvivl om, at der
ikke med persondataloven
gennemfres en regulering, der indebrer begrnsninger i den
informations- og ytringsfri-
hed, som flger af den nvnte bestemmelse i Den Europiske
Menneskerettighedskonven-
tion.26
Af persondatalovens 2, stk. 3, flger det, at loven ikke glder
for behandlinger, som en
fysisk person foretager med henblik p udvelse af aktiviteter af
rent privat karakter. Be-
stemmelsen svarer til undtagelsen fra anvendelsesomrdet i
databeskyttelsesdirektivet, jf.
direktivets artikel 3, stk. 2, 2. pind.
24
Lovforslag nr. L 162 af 28. februar 2007, FT 2006/07, om ndring
af lov om forbud mod tv-overvgning
m.v. og lov om behandling af personoplysninger (Udvidelse af
adgangen til tv-overvgning og styrkelse af
retsbeskyttelsen ved behandling af personoplysninger i
forbindelse med tv-overvgning), de specielle be-
mrkninger til 2, nr. 1. 25
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147,
FT 1999/00, de specielle bemrkninger til 2,
stk. 1. 26
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147,
FT 1999/00, de specielle bemrkninger til 2,
stk. 2.
28
Persondataloven finder iflge lovens 2, stk. 4, desuden ikke
anvendelse p behandling af
oplysninger, der foretages for Folketinget og institutioner med
tilknytning dertil.
Derudover er der i persondatalovens 2, stk. 5-9, en rkke
undtagelser vedrrende medi-
ernes behandling af oplysninger. Det fremgr af bemrkningerne til
persondataloven, at
disse undtagelser er fastsat inden for rammerne af direktivet,
herunder direktivets artikel
9.27
Efter stk. 5 finder loven ikke anvendelse for behandlinger, der
er omfattet af lov om mas-
semediers informationsdatabaser. Persondataloven finder efter
stk. 6 og 7 heller ikke an-
vendelse p de informationsdatabaser, hvori der udelukkende er
indlagt allerede offentlig-
gjorte periodiske skrifter eller lyd- og billedprogrammer, der
er omfattet af medieansvars-
lovens 1, nr. 1 eller 2, eller hvori der udelukkende er indlagt
allerede offentliggjorte tek-
ster, billeder og lydprogrammer, der omfattes af
medieansvarslovens 1, nr. 3. Undtagel-
serne i stk. 7 og 8 glder kun, nr indlggelsen i
informationsdatabasen er sket undret i
forhold til offentliggrelsen. Endvidere finder loven efter stk.
8-9 ikke anvendelse p ma-
nuelle arkiver over udklip fra offentliggjorte, trykte artikler,
som udelukkende behandles i
journalistisk jemed, og for behandling af oplysninger, som i
vrigt udelukkende finder
sted i journalistisk jemed eller udelukkende sker med henblik p
kunstnerisk eller litterr
virksomhed. Bestemmelserne i persondatalovens 41, 42 og 69 glder
dog uanset undta-
gelserne i 2, stk. 5-9.
Endelig glder persondataloven iflge lovens 2, stk. 10, ikke for
behandlinger, der udf-
res for politiets og forsvarets efterretningstjenester.
Bestemmelsen har sin baggrund i data-
beskyttelsesdirektivets artikel 3, stk. 2, 1. pind.
2.1.2.8. Territorialt anvendelsesomrde
I overensstemmelse med databeskyttelsesdirektivets artikel 4
flger det af persondatalo-
vens 4, stk. 1, at loven geografisk glder for behandling af
oplysninger, som udfres for
en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne
finder sted inden for Det
Europiske Fllesskabs omrde.
Bestemmelsen omfatter kun dataansvarlige etableret p dansk
omrde. Iflge bemrknin-
gerne til persondataloven anses Frerne og Grnland ikke for dansk
omrde efter be-
27
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147,
FT 1999/00, pkt. 4.2.10.2 og 4.2.10.3 i de
almindelige bemrkninger.
29
stemmelsen.28
Det bemrkes dog, at persondataloven ved kongelig anordning nr.
1238 af
14. oktober 2016 er sat i kraft for Grnland den 1. december
2016.
Endvidere flger det af persondatalovens 4, stk. 2, at loven
glder for den behandling,
som udfres for danske diplomatiske reprsentationer.
Efter persondatalovens 4, stk. 3, nr. 1, glder loven ogs for en
dataansvarlig, som er
etableret i et tredjeland, hvis behandlingen af oplysninger sker
under benyttelse af hjlpe-
midler, der befinder sig i Danmark, medmindre hjlpemidlerne kun
benyttes med henblik
p forsendelse af oplysninger gennem Det Europiske Fllesskabs
omrde.
Efter lovens 4, stk. 4, er det et krav for dataansvarlige, som i
henhold til stk. 3, nr. 1, er
omfattet af persondataloven, at denne skal udpege en
reprsentant, som er etableret i
Danmark. Den registreredes mulighed for at foretage retslige
skridt mod vedkommende
dataansvarlige berres efter bestemmelsen ikke heraf. Den
dataansvarlige skal efter 4,
stk. 5, skriftligt underrette Datatilsynet om, hvem der er
udpeget som reprsentant.
Efter persondatalovens 4, stk. 3, nr. 2, glder loven endvidere
for en dataansvarlig, som
er etableret i et tredjeland, hvis indsamling af oplysninger i
Danmark sker med henblik p
behandling i et tredjeland.
Desuden flger det af persondatalovens 4, stk. 6, at loven glder,
hvis der for en dataan-
svarlig, der er etableret i et andet medlemsland, behandles
oplysninger i Danmark, og be-
handlingen ikke er omfattet af databeskyttelsesdirektivet,
ligesom det flger af bestemmel-
sen, at loven glder, hvis der for en dataansvarlig, der er
etableret i en stat, som har gen-
nemfrt en aftale med Det Europiske Fllesskab, der indeholder
regler svarende til direk-
tivet, behandles oplysninger i Danmark, og behandlingen ikke er
omfattet af de nvnte
regler.
Det bemrkes, at persondatalovens 4, stk. 3, nr. 2, og 4, stk. 6,
gr videre end forudsat i
databeskyttelsesdirektivets artikel 4 om det territoriale
anvendelsesomrde. Der kan i den
forbindelse bl.a. henvises til bemrkningerne til persondataloven
og Registerudvalgets
betnkning nr. 1345.29
28
Bl.a. Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr.
147, FT 1999/00, de specielle bemrkninger
til 4. 29
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147,
FT 1999/00, pkt. 4.2.3.2 og 4.2.3.3 i de almin-
delige bemrkninger samt Registerudvalgets betnkning 1345/1997 om
behandling af personoplysninger, s.
217-224.
30
2.1.3. Databeskyttelsesforordningen
2.1.3.1. Materielt anvendelsesomrde
2.1.3.1.1. Det almindelige anvendelsesomrde
Databeskyttelsesforordningen glder iflge forordningens artikel
2, stk. 1, p behandling
af personoplysninger, der helt eller delvis foretages ved hjlp
af automatisk databehand-
ling, og p anden ikke-automatisk behandling af
personoplysninger, der er eller vil blive
indeholdt i et register.
Begrebet automatisk databehandling er sammenfaldende med edb
eller elektronisk
behandling, som anvendes i databeskyttelsesdirektivets artikel
3, stk. 1.
Bestemmelsen svarer sledes til det gldende
databeskyttelsesdirektivs materielle anven-
delsesomrde.
2.1.3.1.2. Undtagelse af aktiviteter, der falder uden for
EU-retten
Iflge forordningens artikel 2, stk. 2, litra a, glder
forordningen ikke for behandling af
personoplysninger under udvelse af aktiviteter, der falder uden
for EU-retten.
I forordningens prambelbetragtning nr. 16 er det anfrt, at der
herved er tale om aktivite-
ter ssom aktiviteter vedrrende statens sikkerhed. Eksemplet om
statens sikkerhed m p
samme mde som eksemplerne i databeskyttelsesdirektivets artikel
3, stk. 2, 1. pind, umid-
delbart antages at fastlgge rkkevidden af undtagelsen i litra a,
sledes at den kun finder
anvendelse p aktiviteter, der kan henfres til statens
sikkerhed.
Baggrunden er, at forordningen har det samme grundlggende forml
som det gldende
databeskyttelsesdirektiv samt i vidt omfang er en viderefrelse
og prcisering af direkti-
vets regler.30
Der m sledes skulle anlgges samme fortolkning af undtagelsen i
forord-
ningens artikel 2, stk. 2, som EU-Domstolen, som anfrt ovenfor
under afsnit 2.1.2.2., an-
lagde i sterreichischer Rundfunk-sagerne og Lindqvist-sagen for
databeskyttelsesdirekti-
vets artikel 3, stk. 2, der ikke adskiller sig vsentligt fra
undtagelserne i forordningen.
Sledes finder forordningen ogs anvendelse p aktiviteter, der
konkret set ikke har et
grnseoverskridende element. Det samme gr sig gldende p omrder,
der ikke som s-
dan hrer under EUs kompetence. Forordningen finder derfor
eksempelvis anvendelse i
forbindelse med behandling af personoplysninger i sager om
direkte beskatning, selvom
30
Herved bl.a. forordningens artikel 1 og prambelbetragtning nr.
9-13 smh. databeskyttelsesdirektivets
artikel 1 og prambelbetragtning nr. 8-10.
31
direkte beskatning ikke hrer under EUs kompetence.31
Det kan i den forbindelse tilfjes,
at beskyttelse af personoplysninger i medfr af artikel 16 i TEUF
er en del af EU-retten.
Ligesom persondataloven glder forordningen derfor ogs for
domstolene.
I modstning til persondataloven m forordningen desuden antages
at finde anvendelse for
Folketinget og institutioner under Folketinget. For s vidt angr
den behandling af person-
oplysninger, der foretages for Folketinget som led i det
parlamentariske arbejde, herunder
den betjening af Folketingets medlemmer, som Folketingets
Administration foretager, m
der imidlertid foretages en afgrnsning i forhold til
informations- og ytringsfriheden,
hvorom de nrmere grnser faststtes ved lov, jf. forordningens
artikel 85. For nrmere
om artikel 85 henvises til afsnit 10.1. Den nrmere afgrnsning m
i vrigt udfyldes i
praksis.
2.1.3.1.3. Undtagelse af aktiviteter i forbindelse med Unionens
flles udenrigs- og sikker-
hedspolitik
Iflge forordningens artikel 2, stk. 2, litra b, og
prambelbetragtning nr. 16, glder for-
ordningen ikke for behandling af personoplysninger, som
foretages af medlemsstaterne,
nr de udfrer aktiviteter i forbindelse med Unionens flles
udenrigs- og sikkerhedspolitik
(afsnit V, kapitel 2, i TEU).
Anvendelsesomrdet for denne bestemmelse m, ligesom undtagelsen i
artikel 2, stk. 2,
litra a, antages at skulle fortolkes snvert.
2.1.3.1.4. Undtagelse af fysiske personers rent personlige eller
familiemssige aktiviteter
Iflge forordningens artikel 2, stk. 2, litra c, glder
forordningen ikke for behandling af
personoplysninger, som foretages af en fysisk person som led i
rent personlige eller famili-
emssige aktiviteter.
2.1.3.1.5. Forholdet til retshndhvelsesdirektivet
Iflge forordningens artikel 2, stk. 2, litra d, glder
forordningen ikke for behandling af
personoplysninger, som foretages af kompetente myndigheder med
henblik p at forebyg-
ge, efterforske, afslre eller retsforflge strafbare handlinger
eller fuldbyrde strafferetlige
sanktioner, herunder beskytte mod og forebygge trusler mod den
offentlige sikkerhed.
31
Sag C-279/93, Schumacker, EU-Domstolens dom af 14. februar 1995,
hvorefter medlemsstaterne skal
overholde EU-retten, bl.a. bestemmelser om arbejdskraftens frie
bevgelighed og forbuddet mod nationali-
tetsdiskrimination, nr de udver deres beskatningskompetence,
selvom direkte beskatning er et omrde, der
ikke som sdan hrer under EUs kompetence.
32
Denne undtagelse vedrrer iflge prambelbetragtning nr. 19
forholdet til Europa-
Parlamentets og Rdets direktiv (EU) 2016/680
(retshndhvelsesdirektivet), som iflge
direktivets artikel 2, stk. 1, jf. 1, stk. 1, finder anvendelse
for sdanne behandlinger.
Retshndhvelsesdirektivet er gennemfrt i dansk ret ved lov nr.
410 af 27. april 2017.
En kompetent myndighed defineres iflge retshndhvelsesdirektivets
artikel 3, stk. 7, litra
a, som enhver offentlig myndighed, der er kompetent med hensyn
til at forebygge, efterfor-
ske, afslre eller retsforflge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner,
herunder beskytte mod og forebygge trusler mod den offentlige
sikkerhed.
I Danmark er de kompetente myndigheder politiet,
anklagemyndigheden, herunder den
militre anklagemyndighed, kriminalforsorgen, Den Uafhngige
Politiklagemyndighed og
domstolene.
Iflge direktivets artikel 3, nr. 7, litra b, er en kompetent
myndighed endvidere ethvert an-
det organ eller enhver anden enhed, som i henhold til
medlemsstaternes nationale ret ud-
ver offentlig myndighed og offentlige befjelser med henblik p at
forebygge, efterforske,
afslre eller retsforflge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, her-
under beskytte mod og forebygge trusler mod den offentlige
sikkerhed.
I databeskyttelsesforordningens prambelbetragtning nr. 19 er det
om forholdet til rets-
hndhvelsesdirektivet anfrt, at medlemsstater kan overdrage
opgaver, der ikke ndven-
digvis foretages med henblik p at forebygge, efterforske, afslre
eller retsforflge strafba-
re handlinger eller fuldbyrde strafferetlige sanktioner,
herunder beskytte mod og forebygge
trusler mod den offentlige sikkerhed, til de kompetente
myndigheder som omhandlet i
retshndhvelsesdirektivet, sledes at behandling af
personoplysninger til disse andre for-
ml, for s vidt som de er omfattet af EU-retten, falder ind under
databeskyttelsesforord-
ningens anvendelsesomrde.
Desuden er det anfrt, at medlemsstaterne med hensyn til disse
kompetente myndigheders
behandling af personoplysninger til forml, der er omfattet af
anvendelsesomrdet for den-
ne forordning, br kunne opretholde eller indfre mere specifikke
bestemmelser for at til-
passe anvendelsen af reglerne i denne forordning. Sdanne
bestemmelser kan mere prcist
fastlgge specifikke krav til disse kompetente myndigheders
behandling af personoplys-
ninger til disse andre forml under hensyntagen til den
forfatningsmssige, organisatoriske
og administrative struktur i den pgldende medlemsstat.
33
Nr behandling af personoplysninger foretaget af private organer
er omfattet af forordnin-
gens anvendelsesomrde, br forordningen give medlemsstaterne
mulighed for p srlige
betingelser ved lov at begrnse visse forpligtelser og
rettigheder, nr en sdan begrns-
ning udgr en ndvendig og forholdsmssig foranstaltning i et
demokratisk samfund for at
sikre bestemte vigtige interesser, herunder den offentlige
sikkerhed og forebyggelse, efter-
forskning, afslring eller retsforflgning af strafbare handlinger
eller fuldbyrdelse af straf-
feretlige sanktioner, herunder beskyttelse mod og forebyggelse
af trusler mod den offentli-
ge sikkerhed. Dette er f.eks. relevant inden for rammerne af
bekmpelse af hvidvaskning
af penge eller kriminaltekniske laboratoriers aktiviteter.
2.1.3.1.6. Forholdet til forordning (EF) nr. 45/2001
Det flger af forordningens artikel 2, stk. 3, at forordning (EF)
nr. 45/2001 finder anven-
delse p behandling af personoplysninger, som Unionens
institutioner, organer, kontorer
og agenturer foretager.
Endvidere flger det, at forordning (EF) nr. 45/2001 og andre
EU-retsakter, der finder an-
vendelse p sdan behandling af personoplysninger, tilpasses til
principperne og bestem-
melserne i forordningen i overensstemmelse med artikel 98.
Kommissionen har den 12. januar 2017 fremsat forslag til
revision af forordning nr.
45/2001 om EU's institutioner og organers behandling af
personoplysninger. Formlet med
forslaget er at tilpasse den gldende forordning med de
principper og bestemmelser, der er
fastsat i den generelle databeskyttelsesforordning, med henblik
p at sikre en strk og
sammenhngende databeskyttelsesramme i EU, sledes at begge
retsakter finder anvendel-
se samtidig. Forslaget viderefrer de fleste elementer fra det
gldende regelst. De v-
sentligste ndringer vedrrer overordnet udvidelsen af reglerne
for tilsynsmyndigheden og
dennes sanktionsmuligheder, herunder muligheden for i visse
tilflde at plgge EU-
institutioner administrative bder.
2.1.3.1.7. Forholdet til direktiv 2000/31/EF
(e-handelsdirektivet)
Det flger af forordningens artikel 2, stk. 4, at forordningen
ikke berrer anvendelsen af
direktiv 2000/31/EF, navnlig reglerne om formidleransvar for
tjenesteydere, der er fastsat i
artikel 12-15 i nvnte direktiv.
2.1.3.2. Territorialt anvendelsesomrde
2.1.3.2.1. Dataansvarlig eller databehandler etableret i
Unionen
Forordningen finder iflge dennes artikel 3, stk. 1, anvendelse p
behandling af personop-
lysninger, som foretages som led i aktiviteter, der udfres for
en dataansvarlig eller en da-
34
tabehandler, som er etableret i Unionen, uanset om behandlingen
finder sted i Unionen
eller ej.
Begrebet etableret m antages at svare til begrebet som anvendt i
databeskyttelsesdirek-
tivets artikel 4, stk. 1, litra a. Iflge EU-Domstolen omfatter
begrebet enhver, selv mini-
mal, reel og faktisk aktivitet, der udves via en permanent
struktur.
Bestemmelsen i artikel 3, stk. 1, adskiller sig p to punkter fra
det gldende databeskyttel-
sesdirektivs territoriale anvendelsesomrde, jf. direktivets
artikel 4, stk. 1, litra a.
For det frste sondrer bestemmelsen ikke, i modstning til
direktivets artikel 4, stk. 1, litra
a, mellem de forskellige medlemsstater. Det afgrende er efter
forordningens artikel 3, stk.
1, som anfrt, alene om den dataansvarlige eller databehandleren
er etableret i Unionen.
Forordningens bestemmelser forholder sig ikke til valget mellem
srreglerne i de forskel-
lige medlemsstater vedtaget nationalt i overensstemmelse med
forordningen, f.eks. artikel
6, stk. 2-3, og artikel 8, stk. 1. Det flger dog af
databeskyttelsesforordningens prambel-
betragtning nr. 153 om varierende nationale bestemmelser fastsat
i medfr af forordnin-
gens artikel 85 om forholdet til ytrings- og
informationsfriheden, at det er den nationale ret
i den medlemsstat, den dataansvarlige er underlagt, som br finde
anvendelse. Et tilsvaren-
de princip flger af det gldende databeskyttelsesdirektivs
artikel 4, stk. 1, litra a, der be-
stemmer om forholdet mellem de forskellige medlemsstaters
lovgivninger, som gennemf-
rer direktivet, at det er lovgivningen i den medlemsstat eller
de medlemsstater, hvor den
dataansvarlige er etableret, der glder for den dataansvarliges
behandlingsaktiviteter.
Det vurderes, at ovennvnte tankegang i forordningens
prambelbetragtning nr. 153 og
det gldende databeskyttelsesdirektivs artikel 4, stk. 1, litra
a, generelt kan udvides til ogs
at finde anvendelse ved vurderingen af, hvilken medlemsstats
nationale srregler, fastsat
inden for rammerne af forordningen, der konkret finder
anvendelse p en dataansvarligs
behandlingsaktiviteter.
En medlemsstat m sledes antages at kunne bestemme, at
forordningen og national lov-
givning om behandling af personoplysninger, vedtaget inden for
forordningens rammer,
finder anvendelse p behandling, der foretages som led i
aktiviteter inden for den med-
lemsstats omrde, hvor den dataansvarlige er etableret. P
tilsvarende vis flger det som
nvnt af persondatalovens 4, stk. 1, at loven glder for
behandling af oplysninger, som
udfres for en dataansvarlig, der er etableret i Danmark, hvis
aktiviteterne finder sted inden
for EU.
35
For det andet udvider forordningen det geografiske
anvendelsesomrde til at omfatte data-
behandlere, hvilket m antages at afspejle, at forordningen i
hjere grad end det er tilfl-
det for databeskyttelsesdirektivet indeholder specifikke regler
vedrrende databehandle-
res behandling af personoplysninger.
2.1.3.2.2. Dataansvarlig og databehandler, der ikke er etableret
i Unionen
Iflge forordningens artikel 3, stk. 2, litra a, finder
forordningen endvidere anvendelse p
behandling af personoplysninger om registrerede, der er i
Unionen, og som foretages af en
dataansvarlig eller databehandler, der ikke er etableret i
Unionen, hvis behandlingsaktivite-
terne vedrrer udbud af varer eller tjenester til sdanne
registrerede i Unionen, uanset om
betaling fra den registrerede er pkrvet.
Yderligere flger det af forordningens artikel 3, stk. 2, litra
b, at forordningen finder an-
vendelse p behandling af personoplysninger om registrerede, der
er i Unionen, og som
foretages af en dataansvarlig eller databehandler, der ikke er
etableret i Unionen, hvis be-
handlingsaktiviteterne vedrrer overvgning af sdanne
registreredes adfrd, for s vidt
deres adfrd finder sted i Unionen.
Med forordningens artikel 3, stk. 2, ndres det territoriale
anvendelsesomrde i forhold til
det gldende databeskyttelsesdirektivs omrde for dataansvarlige
etableret i tredjelande.
Bl.a. er det i forordningens artikel 3, stk. 2, litra a og b,
ikke lngere en betingelse, at be-
handlingen af oplysninger sker med hjlpemidler inden for EU. Dog
vil hjlpemidler i EU
formentlig i mange tilflde kunne falde inden for
anvendelsesomrdet i medfr af forord-
ningens artikel 3, stk. 1, idet der iflge EU-Domstolens praksis
ikke skal meget til, fr en
virksomhed mv. anses for etableret i Unionen.
Forordningens artikel 3, stk. 2, er udtryk for et
virkningssynspunkt, som ogs kendes inden
fra andre dele af EU-retten, f.eks. p varemrkeomrdet, der gr ud
p, at forordningens
skal finde anvendelse p behandlinger, der har virkning for
fysiske personer, som befinder
sig inden for EUs grnser.
Herudover er der en forskel i forhold persondatalovens 4, stk.
3, nr. 2, hvorefter loven,
som anfrt ovenfor i afsnit 2.1.2.8., glder for dataansvarlige
etableret i tredjelande, hvis
indsamling af oplysningerne i Danmark sker med henblik p
behandling i et tredjeland,
idet forordningen iflge artikel 3, stk. 2, kun glder for en sdan
behandling foretaget af en
dataansvarlig eller databehandler i et tredjeland, i det omfang
behandlingsaktiviteterne
vedrrer udbud af varer eller tjenester til registrerede i
Unionen eller vedrrer overvgning
af registreredes adfrd, for s vidt deres adfrd finder sted i
Unionen.
36
Endelig finder forordningen iflge dennes artikel 3, stk. 3,
anvendelse p behandling af
personoplysninger, som foretages af en dataansvarlig, der ikke
er etableret i Unionen, men
et sted, hvor medlemsstaternes nationale ret glder i medfr af
folkeretten. Dette svarer til
det gldende territoriale anvendelsesomrde.
2.1.3.2.3. Forordningen i forhold til Frerne og Grnland
I lyset af artikel 204 og artikel 355, stk. 5, litra a, i TEUF
og protokol nr. 34 om den srli-
ge ordning for Grnland, der er knyttet til Lissabontrakten,
antages forordningen ikke at
finde anvendelse for Frerne og Grnland.
2.1.4. Overvejelser
2.1.4.1. Materielt anvendelsesomrde
Det m antages, at forordningens almindelige anvendelsesomrde
svarer til persondatalo-
vens 1, stk. 1, dog med den forskel, at forordningen, modsat
persondataloven, ikke uden
videre finder anvendelse for personoplysninger om afdde
personer. Det er sledes prci-
seret i forordningens prambelbetragtning nr. 27, at
medlemsstaterne kan faststte regler
for behandling af personoplysninger om afdde personer.
Det m samtidig antages, at det vil vre muligt at viderefre
persondatalovens 1, stk. 1, i
