databeskyttelsesforordningen - justitsministeriet.dk · databeskyttelsesforordningen betænkning...
Post on 28-Jan-2019
216 Views
Preview:
TRANSCRIPT
Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning
Betnkning nr. 1565
Del I bind 1
Betnkning om
Databeskyttelsesforordningen (2016/679) og de retlige rammer for dansk lovgivning
Del I, bind 1
Betnkning nr. 1565
Databeskyttelsesforordningen
Betnkning nr. 1565
Publikationen kan bestilles via Justitsministeriets hjemmeside(www.justitsministeriet.dk)
eller hos
Rosendahls Lager og LogistikVandtrnsvej 83A2860 SborgTelefon 43 22 73 00distribution@rosendahls.dkhttp://jm.schultzboghandel.dk
ISBN: 978-87-93469-10-5ISBN internet: 978-87-93469-11-5
Tryk: Rosendahls a/s
Pris: 300 kr. incl. moms
2
Indholdsfortegnelse
Del I: Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning
1. Indledning .................................................................................................................... 9
2. Forordningens kapitel I: Generelle bestemmelser ................................................. 21
2.1. Anvendelsesomrde, artikel 2 og 3....................................................................... 21
2.2. Rent privat karakter .............................................................................................. 39
2.3. Definitioner, artikel 4 ........................................................................................... 43
2.4. Det danske registerbegreb .................................................................................... 74
3. Forordningens kapitel II: Principper ...................................................................... 81
3.1. Principper for behandling af personoplysninger, artikel 5 og artikel 6, stk. 4 ..... 81
3.2. Forskning og statistik, artikel 5, stk. 1, litra b .................................................... 102
3.3. Lovlig behandling af ikke-flsomme oplysninger, artikel 6, stk. 1 .................... 113
3.4. Lovlig behandling af ikke-flsomme oplysninger nationalt rderum, artikel 6,
stk. 2-3 ....................................................................................................................... 141
3.5. Betingelser for samtykke, artikel 7 ..................................................................... 170
3.6. Brns samtykke i forbindelse med informationssamfundstjenester, artikel 8 .... 185
3.7. Flsomme oplysninger, artikel 9, stk. 1 ............................................................. 189
3.8. Hjemler til behandling af flsomme oplysninger, artikel 9, stk. 2-3 .................. 194
3.9. Medlemsstaternes rderum (ved behandling af flsomme oplysninger), artikel 9,
stk. 4 .......................................................................................................................... 231
3.10. Strafbare forhold, herunder straffe- og brneattester, artikel 10, 1. pkt. .......... 233
3.11. Register over straffedomme, artikel 10, 2. pkt. ................................................ 248
3.12. Behandling, der ikke krver identifikation, artikel 11 ..................................... 252
3.13. Retsinformation ................................................................................................ 256
3
4. Forordningens kapitel III: Den registreredes rettigheder ................................... 262
4.1. Gennemsigtig oplysning, artikel 12 .................................................................... 262
4.2. Processuelle sprgsml om registreredes rettigheder, artikel 12, stk. 3-8 .......... 265
4.3. Oplysningspligt ved indsamling hos den registrerede, artikel 13 ....................... 279
4.4. Oplysningspligt, hvis personoplysningerne ikke er indsamlet hos den registrerede,
artikel 14 .................................................................................................................... 296
4.5. Indsigtsretten, artikel 15 ..................................................................................... 312
4.6. Berigtigelse, artikel 16 ........................................................................................ 325
4.7. Ret til sletning (retten til at blive glemt), artikel 17 ........................................ 330
4.8. Ret til begrnsning af behandling, artikel 18 ..................................................... 338
4.9. Underretningspligt, artikel 19 ............................................................................. 342
4.10. Retten til dataportabilitet, artikel 20 ................................................................. 346
4.11. Ret til indsigelse, artikel 21 .............................................................................. 355
4.12. Automatiske afgrelser, artikel 22.................................................................... 370
4.13. Begrnsninger af rettighederne, artikel 23 ...................................................... 389
5. Forordningens kapitel IV: Dataansvarlig og databehandler .............................. 405
5.1. Den dataansvarliges ansvar, artikel 24 ............................................................... 405
5.2. Databeskyttelse gennem design og standardindstillinger, artikel 25 .................. 410
5.3. Flles dataansvar, artikel 26 .............................................................................. 423
5.4. Reprsentanter, artikel 27 .................................................................................. 426
5.5. Databehandler, artikel 28 .................................................................................... 429
5.6. Instruks, artikel 29 .............................................................................................. 442
5.7. Fortegnelser over behandlingsaktiviteter, artikel 30, stk. 1-4 ............................ 443
5.8. Fortegnelser over behandlingsaktiviteter undtagelsen i artikel 30, stk. 5 ....... 464
5.9. Samarbejde med tilsynsmyndigheden, artikel 31 ............................................... 467
5.10. Behandlingssikkerhed, artikel 32 ..................................................................... 469
5.11. Anmeldelse af brud p sikkerheden, artikel 33 ................................................ 490
5.12. Underretning om sikkerhedsbrud til den registrerede, artikel 34 ..................... 506
5.13. Konsekvensanalyser vedrrende databeskyttelse, artikel 35 ............................ 522
5.14. Hring af tilsynsmyndigheden, artikel 36 ........................................................ 537
4
5.15. Krigsreglen ....................................................................................................... 544
5.16. Cloud computing .............................................................................................. 551
5.17. Privates forpligtelse til at udpege en databeskyttelsesrdgiver, artikel 37 ....... 561
5.18. Offentlige myndigheder og organers forpligtelse til at udpege en
databeskyttelsesrdgiver, artikel 37 ........................................................................... 569
5.19. Artikel 37, stk. 4, bl.a. om muligheden for danske srregler ........................... 573
5.20. Databeskyttelsesrdgiverens stilling og kvalifikationer, artikel 37, stk. 5-6, og
artikel 38 .................................................................................................................... 574
5.21. Databeskyttelsesrdgiverens opgaver, artikel 39 og 35, stk. 2 ......................... 585
5.22. Adfrdskodekser, artikel 40 ............................................................................. 588
5.23. Kontrol af godkendte adfrdskodekser, artikel 41 ........................................... 606
5.24. Certificering, artikel 42 .................................................................................... 612
5.25. Certificeringsorganer, artikel 43 ....................................................................... 622
6. Forordningens kapitel V: Overfrsler af personoplysninger til tredjelande eller
internationale organisationer ..................................................................................... 630
6.1. Generelt princip for overfrsler, artikel 44 ......................................................... 630
6.2. Overfrsler baseret p en afgrelse om tilstrkkeligheden af
beskyttelsesniveauet, artikel 45 ................................................................................. 638
6.3. Overfrsler omfattet af forndne garantier, artikel 46 ....................................... 657
6.4. Bindende virksomhedsregler, artikel 47 ............................................................. 670
6.5. Overfrsel uden hjemmel i EU-retten, artikel 48 ............................................... 712
6.6. Undtagelser i srlige situationer, artikel 49 ....................................................... 717
6.7. Internationalt samarbejde om beskyttelse af personoplysninger, artikel 50 ....... 734
7. Forordningens kapitel VI: Uafhngige tilsynsmyndigheder .............................. 739
7.1. Tilsynsmyndighed, artikel 51, 53 og 54 ............................................................. 739
7.2. Uafhngighed, artikel 52 ................................................................................... 748
7.3. Regler om oprettelse af en tilsynsmyndighed, artikel 54 ................................... 766
7.4. Tilsynsmyndighedens kompetence, artikel 55 og 56 ......................................... 769
7.5. Tilsynsmyndighedens opgaver, artikel 57 .......................................................... 773
7.6. benbart grundlse eller uforholdsmssige anmodninger, artikel 57, stk. 4 .... 783
5
7.7. Tilsynsmyndighedens befjelser, artikel 58 ....................................................... 788
7.8. Adgang til oplysninger og lokaler, artikel 58, stk. 1, litra e og f ........................ 807
7.9. Aktivitetsrapport, artikel 59 ................................................................................ 811
8. Forordningens kapitel VII: Samarbejde og sammenhng ................................. 814
8.1. Samarbejde mellem tilsynsmyndigheder, artikel 60........................................... 814
8.2. Gensidig bistand og flles aktiviteter, artikel 61 og 62 ..................................... 821
8.3. Sammenhng, artikel 63-67 ............................................................................... 832
8.4. Databeskyttelsesrdet, artikel 68 og artikel 70-76.............................................. 847
8.5. Databeskyttelsesrdets uafhngighed, artikel 69 ............................................... 859
9. Forordningens kapitel VIII: Retsmidler, ansvar og sanktioner ......................... 862
9.1. Ret til at indgive klage, artikel 77 ...................................................................... 862
9.2. Adgang til effektive retsmidler over for en tilsynsmyndighed, artikel 78 .......... 869
9.3. Effektive retsmidler over for en dataansvarlig eller databehandler, artikel 79 .. 878
9.4. Reprsentation af den registrerede, artikel 80 ................................................... 883
9.5. Udsttelse af en sag, artikel 81 .......................................................................... 891
9.6. Ret til erstatning og erstatningsansvar, artikel 82 .............................................. 898
9.7. Generelle betingelser for plggelse af administrative bder, artikel 83, stk. 16
................................................................................................................................... 918
9.8. Bder til offentlige myndigheder, artikel 83, stk. 7 ........................................... 927
9.9. Proceduremssige garantier, artikel 83, stk. 8 ................................................... 930
9.10. Administrative bder i Danmark, artikel 83, stk. 9 .......................................... 932
9.11. Sanktioner, artikel 84 ........................................................................................ 938
10. Forordningens kapitel IX: Bestemmelser vedrrende specifikke
behandlingssituationer ................................................................................................ 948
10.1. Rammerne i artikel 85 vedrrende ytrings- og informationsfrihed .................. 948
10.2. Rammerne i artikel 86 om behandling og aktindsigt i officielle dokumenter mv.
................................................................................................................................... 959
10.3. Rammerne i artikel 87 vedrrende nationalt identifikationsnummer ............... 966
6
10.4. Rammerne i artikel 88 vedrrende behandling i forbindelse med
ansttelsesforhold ..................................................................................................... 970
10.5. Rammerne i artikel 89, stk. 1 og 2 samt 4, vedrrende videnskabelige og
historiske forskningsforml og statistiske forml ...................................................... 981
10.6. Rammerne i artikel 89, stk. 1 og 3 samt 4, vedrrende arkivforml i samfundets
interesse ..................................................................................................................... 990
10.7. Rammerne i artikel 90 for nationale regler om tilsynsmyndighedernes adgang til
oplysninger, som er underlagt tavshedspligt ............................................................. 995
10.8. Rammerne i artikel 91 vedrrende kirkers og religise sammenslutningers
eksisterende databeskyttelsesregler ........................................................................... 998
11. Forordningens kapitel X og XI: Delegerede retsakter,
gennemfrelsesbestemmelser og afsluttende bestemmelser ..................................1000
12. Databeskyttelsesforordningen forordning (EU) 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sdanne oplysninger ......................... 1005
11.1. Forordningens kapitel X og XI om afsluttende bestemmelser (artikel 92-99) .. 1000
7
1. Indledning
1.1. Den generelle EU-forordning om databeskyttelse
I januar 2012 fremsatte EU-Kommissionen forslag til en databeskyttelsespakke. Pakken
blev endeligt vedtaget den 14. april 2016.
Pakken bestr navnlig af den generelle forordning nr. 2016/679 om beskyttelse af person-
oplysninger, som skal glde i bde den private og offentlige sektor (databeskyttelsesfor-
ordningen). Forordningen anvendes fra den 25. maj 2018. Herudover bestr databeskyttel-
sespakken af et direktiv om beskyttelse af personoplysninger, som skal glde for retshn-
dhvelsesomrdet (retshndhvelsesdirektivet). Retshndhvelsesdirektivet er gennem-
frt i dansk ret ved lov nr. 410 af 27. april 2017 om retshndhvende myndigheders be-
handling af personoplysninger.
Databeskyttelsesforordningen aflser databeskyttelsesdirektivet1, som i dansk ret er gen-
nemfrt ved persondataloven, jf. lov nr. 429 af 31. maj 2000 om behandling af personop-
lysninger.
Databeskyttelsesforordningen fastslr, at databeskyttelse er en grundlggende rettighed
efter EU's Charter om grundlggende rettigheder og traktaten om Den Europiske Unions
funktionsmde (TEUF). Som det nvnes i forordningens prambel, har den hastige tekno-
logiske udvikling og globaliseringen skabt nye udfordringer, hvad angr beskyttelse af
personoplysninger. Denne udvikling krver en strk og mere sammenhngende databe-
skyttelsesramme i EU, som understttes af effektiv hndhvelse, for at skabe den tillid, der
gr det muligt, at den digitale konomi kan udvikle sig p det indre marked.
1.2. Justitsministeriets projektarbejde om indretning af dansk lovgivning
efter databeskyttelsesforordningen
Databeskyttelsespakken blev som nvnt vedtaget den 14. april 2016, og Danmark havde
sledes fra denne dato ca. 2 r til at tilpasse dansk lovgivning til reglerne i forordningen.
Som flge af denne relativt korte tidsramme for tilpasning af dansk lovgivning til forord-
ningen, igangsatte Justitsministeriet et hurtigtarbejdende projektarbejde, som skulle danne
grundlag for arbejdet med at tilpasse dansk lovgivning til forordningen.
Justitsministeriet vurderede sledes, at det p grund af den korte tidsramme ikke var muligt
at tilpasse dansk lovgivning til forordningen ved et traditionelt udvalgsarbejde.
1 Europa-Parlamentet og Rdets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri udveksling af sdanne oplysninger.
9
Justitsministeriet vurderede endvidere, at projektarbejdets analyser burde vre afsluttet
senest i maj 2017, idet det er hensigten, at de ndvendige lovforslag vil blive fremsat i Fol-
ketinget i efterret 2017, sledes at der er tid til eventuelle tilpasninger af procedurer hos
private virksomheder og myndigheder mv.
Som resultat af projektet med at tilpasse dansk lovgivning til forordningen, besluttede Ju-
stitsministeriet, at der bl.a. skulle udarbejdes en betnkning med de nrmere analyser af
forordningens bestemmelser, herunder forordningens rammer for nationale srregler og en
analyse af konsekvenserne for gldende dansk lovgivning. Endvidere skulle forordningens
nye srlige krav hurtigt beskrives og afklares med henblik p vejledning.
I forbindelse med analyserne er der i vidt omfang taget stilling til, om og i givet fald hvor-
dan der inden for rammerne af forordningen kan og skal opretholdes og faststtes srlige
danske regler.
Projektets forml var sledes overordnet at sikre, at dansk lovgivning kunne indrettes i
overensstemmelse med forordningens bestemmelser med virkning fra den 25. maj 2018.
Projektarbejdets analyser er sammenstillet i denne betnkning.
1.3. Organiseringen af projektarbejdet med databeskyttelsesforordningen
Justitsministeriet har siden sommeren 2016 i samarbejde med samtlige ministerier, KL og
Danske Regioner samt Erhvervsstyrelsen, Digitaliseringsstyrelsen og Datatilsynet foretaget
et analysearbejde af forordningen.
Dette analysearbejde har foreget i et projekt med en styregruppe og projektgrupper, som
har stet for arbejdet med databeskyttelsesforordningen.
Arbejdet i projektgrupperne har vret understttet af en rkke arbejdsgrupper og en eks-
pertreferencegruppe.
Styregruppen
Styregruppen har overordnet vret ansvarlig for projektets gennemfrelse og bestod af
afdelingschef for Justitsministeriets lovafdeling Jens Teilberg Sndergaard, Datatilsynets
direktr Cristina Angela Gulisano, Digitaliseringsstyrelsens direktr Lars Frelle-Petersen
og Erhvervsstyrelsens direktr Betina Hagerup.
10
Projektgrupperne
Projektet har vret opdelt i to projektgrupper, hvoraf den ene arbejdede med forordningens
rammer for nationale srregler. Den anden gruppe arbejdede bl.a. med bidrag fra den
frste projektgruppe med forordningens konsekvenser for den generelle databeskyttelses-
lovgivning i Danmark.
Projektgrupperne har vret sammensat af medarbejdere fra Justitsministeriet, Datatilsynet,
Digitaliseringsstyrelsen, Erhvervsstyrelsen, Erhvervsministeriet, Skatteministeriet, Sund-
heds- og ldreministeriet, Danske Regioner og KL. Arbejdet i projektgrupperne har vret
understttet af en rkke arbejdsgrupper.
Arbejdsgrupperne
Den projektgruppe, der behandlede sprgsmlet om rammerne for nationale srregler, har
vret understttet af to arbejdsgrupper, mens projektgruppen, der arbejdede med forord-
ningens konsekvenser for den generelle databeskyttelseslovgivning, har vret understttet
af fem arbejdsgrupper inddelt efter forordningens forskellige elementer (behandlingsregler
og rettigheder, behandlingssikkerhed, nye srlige krav, erstatning og straf samt tilsyn).
Arbejdsgrupperne har vret sammensat af medarbejdere fra Justitsministeriet, Datatilsynet,
Digitaliseringsstyrelsen, Erhvervsministeriet, samt i det omfang andre ministerier, kom-
munerne (KL) og regionerne (Danske Regioner) vurderede det relevant, medarbejde-
re/reprsentanter herfra.
Ekspertreferencegruppen
Arbejdet i projektgrupperne har vret understttet af en ekspertreferencegruppe bestende
af kommitteret ved Folketingets Ombudsmand Jens Mller, professor, dr.jur. Peter Blume,
professor, dr.jur. Henrik Udsen og ph.d. Gert Lsse Mikkelsen. En lang rkke centrale
afsnit i betnkningen er efter godkendelse i projektgrupperne blevet forelagt ekspertrefe-
rencegruppen. Ekspertreferencegruppen har sledes vret inddraget i centrale afsnit i be-
tnkningens frste del vedrrende forordningens kapitel 1-4 og 6-9. Der er i analysearbej-
det taget hjde for ekspertreferencegruppens bemrkninger, som er indarbejdet i betnk-
ningen.
Herudover blev der i forbindelse med projektarbejdet afholdt stormder, hvor bl.a. inte-
resseorganisationer, erhvervslivet og advokatkontorer med speciale i persondataret var
reprsenteret.
11
I efterret 2016 blev der afholdt et workshop-forlb i regi af Erhvervsstyrelsen, hvor er-
hvervslivet havde identificeret centrale problemstillinger for erhvervslivet vedrrende for-
ordningen. I forlngelse heraf afholdt Justitsministeriet i samarbejde med Erhvervsstyrel-
sen et stormde med deltagere fra erhvervslivet, hvor forelbige konklusioner om centrale
problemstillinger blev prsenteret. Til stormderne blev der endvidere stillet en rkke
konkrete sprgsml, som efterflgende er indget i analysearbejdet.
I efterret 2016 blev der endvidere afholdt en rkke netvrksmder for offentlige myndig-
heder i regi af Digitaliseringsstyrelsen, hvor offentlige myndigheder havde identificeret
centrale problemstillinger for myndigheder vedrrende forordningen. I forlngelse heraf
afholdt Justitsministeriet i samarbejde med Digitaliseringsstyrelsen et netvrksmde, hvor
sprgsml om centrale problemstillinger blev besvaret.
Justitsministeriet har i forbindelse med analysearbejdet deltaget aktivt i den af Kommissio-
nen nedsatte ekspertgruppe om databeskyttelsesforordningen, bestende af EU-
Kommissionen og de 28 medlemslande, hvor knaster i forordningen i forbindelse med
gennemfrelsen lbende bliver drftet.
Justitsministeriet har prioriteret dette arbejde hjt med henblik p at varetage danske inte-
resser i forbindelse med fortolkningen af forordningen.
Justitsministeriet har i forbindelse med analysearbejdet endvidere deltaget i en rkke m-
der med like-mindede lande, hvor den nationale gennemfrelse af forordningen er blevet
drftet. Disse lande har vret Tyskland, Holland, Sverige, Finland, Luxembourg og Irland.
Endvidere har der i forbindelse med arbejdet vret srskilte drftelser om en lang rkke
centrale artikler i databeskyttelsesforordningen med bl.a. Forbrugerrdet Tnk, Institut for
Menneskerettigheder og Rdet for Digital Sikkerhed. Der har ogs i forbindelse med ar-
bejdet vret lbende drftelser med arbejdsmarkedets parter.
I lbet af analysearbejdet har Justitsministeriet endvidere modtaget henvendelser fra en
rkke organisationer, institutioner mv. Dette glder bl.a. Dansk Erhverv, Dansk Industri,
Indsamlingsorganisationernes Brancheorganisation, Forsikring og Pension, Danske Advo-
kater, FSR, Finansrdet, Danske Medier, ATP og en rkke forsyningsselskaber, som er
indget i analysearbejdet.
12
Illustration af projektarbejdet:
1.4. Betnkningens forml
Betnkningen tjener det forml at sikre forordningens korrekte gennemfrelse i dansk ret,
herunder at analysere rammerne for bde indfrelse og opretholdelse af nationale srreg-
ler, nr forordningen anvendes den 25. maj 2018.
Betnkningens analyser vil endvidere danne grundlag for udarbejdelsen af en ny version af
persondataloven og flgelove med konsekvensrettelser.
Betnkningen skal sledes tjene som et centralt fortolkningsbidrag til det videre arbejde
med forslagene.
Styregruppe:
Formand, Justitsministeriet (afdelingschef)
Datatilsynet (direktr)
Digitaliseringsstyrelsen (direktr)
Erhvervsstyrelsen (direktr)
Projektgruppe 2
Konsekvenser for den generelle
databeskyttelseslovgivning
Projektgruppe 1
Rammer for danske srregler
Ekspertreferencegruppe
Arbejdsgruppe
1. Regler om
behandling og
rettigheder
Arbejdsgruppe
2. Regler om
sikkerhed mv.,
herunder indbe-
retning til til-
synsmyndighe-
den
Arbejdsgruppe
3. Nye srlige
krav, herunder
om databeskyt-
telsesrdgivere
og risikoanalyse
Arbejdsgruppe
4. Erstatning og
straf
Arbejdsgruppe
5. Tilsyn
Stormder
Arbejdsgruppe
1. Om danske
srregler gene-
relt
Arbejdsgruppe
2. Regler om
forskning og
statistik samt
arkiv
Forbrugerrdet
Tnk, Institut for
Menneskerettigheder
og Rdet for Digital
Sikkerhed
13
Betnkningen er endelig tiltnkt at vre det retlige grundlag for udarbejdelse af praktisk
anvendelige vejledninger, som man eksempelvis kender fra den eksisterende vejledning til
bekendtgrelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af
personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsvejledningen).
1.5. Betnkningens opbygning
Betnkningens frste del indeholder en nrmere analyse af den gldende retstilstand og
forordningens bestemmelser, herunder forordningens rammer for nationale srregler. Fr-
ste del af betnkningen er opdelt i kapitler, som svarer til kapitlerne i databeskyttelsesfor-
ordningen.
Kapitlerne er endvidere opdelt i afsnit, der hovedsageligt er opdelt efter artiklerne i forord-
ningen.
Hvert afsnit indeholder efter en indledning en redegrelse for gldende ret i databe-
skyttelsesdirektivet og persondataloven med inddragelse af relevante kilder ssom praksis
fra EU-Domstolen og Datatilsynet, diverse udtalelser fra Artikel 29-gruppen2 samt Regi-
sterudvalgets betnkning 1345/1997 om behandling af personoplysninger.
Herefter er der i hvert afsnit oftest under overskriften databeskyttelsesforordningen en
nrmere analyse af de pgldende bestemmelser i forordningen.
Endvidere indeholder hvert afsnit et overvejelsesafsnit. Disse afsnit indeholder oftest en
summarisk konklusion p, om bestemmelserne i forordningen svarer til, hvad der flger af
gldende ret, eller om der er tale om en nyskabelse. Eksempelvis redegres der i afsnittene
vedrrende den registreredes rettigheder for, hvornr den registreredes rettigheder adskiller
sig fra den gldende retstilstand efter persondataloven og databeskyttelsesdirektivet, samt
hvornr der er tale om nye rettigheder. I overvejelsesafsnittene overvejes det ogs sum-
marisk om en eventuel srlig dansk retstilstand vil kunne opretholdes.
At betnkningen indeholder en udfrlig analyse af gldende ret i forhold til bestemmel-
serne i forordningen tjener hovedsageligt to forml. For det frste tjener analysen som et
bidrag til fortolkningen af forordningen, herunder srligt med en afklaring af, hvor forord-
2 I medfr af databeskyttelsesdirektivet er der nedsat en "gruppe vedrrende beskyttelse af personer i forbin-
delse med behandling af personoplysninger" den skaldte "Artikel 29-gruppe". Artikel 29-gruppen er rd-
givende og uafhngig og bestr af en reprsentant for den eller de tilsynsmyndigheder, som hver medlems-
stat har udpeget, og af en reprsentant for den eller de myndigheder, der er oprettet for fllesskabsinstitutio-
nerne og -organerne, samt af en reprsentant for Kommissionen. Artikel 29-gruppen har vedtaget en rkke
henstillinger, udtalelser og notater, som bl.a. vedrrer sprgsmlet om overfrsel af personoplysninger fra
EU-landene til andre lande.
14
ningen svarer til gldende ret, og hvor der er tale om en nyskabelse. For det andet udgr
beskrivelsen af gldende ret et (ndvendigt) grundlag for overvejelser om, i hvilket om-
fang der er behov for at tilpasse danske regler til forordningen, herunder hvad det nationale
rderum for at faststte national srlovgivning er.
Betnkningens anden del indeholder en analyse af konsekvenserne for gldende dansk
srlovgivning i forhold til forordningen inden for samtlige ministeriers omrde. Anden del
af betnkningen indeholder en samlet overordnet vurdering af gldende ret p de enkelte
ministeriers ressortomrde i forhold til forordningen, inklusiv et bilag med angivelse af de
relevante love om behandling af personoplysninger og deres ophng i databeskyttelsesfor-
ordningen.
De enkelte ministerier har sledes gennemget lovgivningen p ministeriets ressortomrde
med henblik p at identificere bestemmelser, der regulerer behandling af personoplysnin-
ger eller i vrigt har relation til forhold, som databeskyttelsesforordningen regulerer, her-
under f.eks. den registreredes rettigheder. Ministerierne har i samarbejde med Justitsmini-
steriet i den forbindelse vurderet, om de pgldende bestemmelser kan opretholdes, nr
databeskyttelsesforordningen anvendes fra den 25. maj 2018.
Ministerierne har i samarbejde med Justitsministeriet vurderet, at de fleste af de identifice-
rede bestemmelser om behandling af personoplysninger mv. kan opretholdes, nr databe-
skyttelsesforordningen finder anvendelse.
I bilagene til kapitlerne fra de enkelte ministerier er oplistet de hovedlove p ministeriets
omrde, hvor ministerierne har identificeret bestemmelser, som regulerer behandling af
personoplysninger i selve loven. Ved de enkelte love er kort anfrt, hvilke typer af behand-
linger loven regulerer, samt hvilke bestemmelser i databeskyttelsesforordningen, der vur-
deres at hjemle behandlingerne fra den 25. maj 2018. Af bilagene fremgr kun det enkelte
ministeriums love. Ministerierne har dog ogs foretaget en gennemgang af, om bekendtg-
relser kan opretholdes, nr forordningen finder anvendelse.
1.6. Betnkningens konklusioner
Analysearbejdet har vist, at forordningen i vidt omfang svarer til den gldende retstilstand
efter persondataloven og databeskyttelsesdirektivet med tilhrende praksis fra bl.a. EU-
Domstolen og Datatilsynet. Bl.a. svarer forordningens centrale bestemmelser om anvendel-
sesomrde, definitioner, principper for behandling af personoplysninger, behandlingsreg-
ler, de registreredes rettigheder og behandlingssikkerhed i stort omfang til gldende ret
efter persondataloven og databeskyttelsesdirektivet.
15
Derudover indeholder forordningen bestemmelser, som er en nyskabelse i forhold til den
gldende retstilstand. Dette er eksempelvis bestemmelserne om databeskyttelsesrdgivere,
konsekvensanalyse og fortegnelser over behandlingsaktiviteter samt en udtrykkelig be-
stemmelse om data protection by design.
P den baggrund vil der for myndigheder og private organisationer, der i forvejen lever op
til persondataloven, ikke med forordningen vre tale om omfattende ndringer.
Der vil sikkert vre offentlige myndigheder og private organisationer mv., som ikke p
nuvrende tidspunkt opfylder alle krav i persondataloven og derfor ikke er compliant
med gldende ret. For disse offentlige myndigheder og private er det oplagt, at der med
databeskyttelsesforordningen er skabt awareness eller bevidsthed omkring betydnin-
gen af beskyttelse af personoplysninger. Dette er nok en konsekvens af, at EU-lovgiver nu
har vedtaget en generel forordning om databeskyttelse, som bl.a. indeholder mulighed for
at plgge strre bder for overtrdelse af forordningens bestemmelser.3
1.7. Betnkningens retlige status
Betnkningens analyser er baseret p eksisterende retskilder. Betnkningen vil sledes
ikke st alene som fortolkningsbidrag fremover.
Hvor retstilstanden ikke kan anses for entydig, indeholder betnkningen i vidt omfang
forslag til mulige lsninger.
Det m forventes, at fortolkningen af forordningen p flere punkter i de kommende r vil
blive udviklet gennem praksis fra bl.a. det med forordningen nyoprettede Europiske Da-
tabeskyttelsesrd, EU-Domstolen, de danske domstole og Datatilsynet.
Den nuvrende retstilstand er f.eks. baseret p meget f domme, og det m forventes, at
der fremover vil komme flere domme fra bl.a. EU-Domstolen.
I det omfang, der kommer bindende afgrelser fra EU-Domstolen, nationale domstole,
Databeskyttelsesrdet og den uafhngige tilsynsmyndighed mv., skal betnkningens ana-
lyser naturligvis lses i lyset af den nye praksis.
3 Se i den forbindelse tilsvarende overvejelser hos professor Peter Blume i Den nye persondataret, Personda-
taforordningen, Jurist- og konomforbundets Forlag, 2016, s. 195 (herefter Peter Blume, Den nye personda-
taret (2016)) og i Juristen, 2016, nr. 4, s. 169-176 (srligt s. 175).
16
Iflge artikel 288 i Traktaten om Den Europiske Unions Funktionsmde (TEUF) er der
forskel p, om et omrde harmoniseres ved et direktiv eller en forordning.
Det flger af artikel 288, 3. pkt., i TEUF, at et direktiv med hensyn til det tilsigtede ml er
bindende for enhver medlemsstat, som det rettes til, men overlader det til de nationale
myndigheder at bestemme form og midler for gennemfrelsen.
Det indebrer bl.a., at et direktiv, som indeholder rettigheder og pligter for borgerne og
virksomhederne, skal gennemfres enten ved lov eller ved en bekendtgrelse med hjemmel
i lov.4
Til forskel fra et direktiv er en forordning iflge TEUF artikel 288, 1. og 2. pkt., almengyl-
dig, og er bindende i alle enkeltheder og glder umiddelbart i hver medlemsstat.
En forordning virker sledes som en lov i medlemsstaterne, og den glder i den form, som
den er vedtaget, og den m som udgangspunkt ikke gennemfres i national ret. Medlems-
staterne kan sledes ikke udstede bindende fortolkningsregler, selv om forordningen mtte
give anledning til tvivl.5 Medlemsstaterne vil imidlertid kunne udstede vejledninger, der
efter deres karakter ikke er bindende, jf. f.eks. vejledning nr. 145 af 21. december 2006 om
dyretransportforordningen (forordning nr. 1/2005).
Ud over, at en forordning som udgangspunkt ikke m gennemfres i medlemsstaterne, vil
medlemsstaternes modstridende lovgivning blive fortrngt af en forordning, hvorfor det
vil vre ndvendigt at ophve denne lovgivning sledes, at der ikke opstr nogen usikker-
hed om retstilstanden. Ophvelsen skal ske enten ved lov eller ved bekendtgrelse med
hjemmel i lov. Forordningen vil sledes ikke i sig selv vre en tilstrkkelig hjemmel til at
ophve lovgivning.6
Ofte skal der dog, som det er tilfldet med databeskyttelsesforordningen, udfrdiges sup-
plerende nationale bestemmelser, f.eks. om hvilken myndighed der skal administrere for-
ordningen, sanktioner og kontrol. Som det endvidere er tilfldet med databeskyttelsesfor-
ordningen, hnder det ogs, at en forordning efter sit indhold forudstter, at medlemssta-
terne skal faststte nrmere regler, der gennemfrer forordningens mere overordnede re-
gulering. P dette punkt vil forordningen herved svare til et direktiv.
4 Nina Holst-Christensen, Skriftlig jura Den juridiske fremstilling, EU-Lovteknik, 2013, s. 470 f.
5 Nina Holst-Christensen, Skriftlig jura Den juridiske fremstilling, EU-Lovteknik, 2013, s. 487 f. og Jens
Hartig Danielsen m.fl., EU-retten, 6. udgave, 2014, s. 96. 6 Nina Holst-Christensen, Skriftlig jura Den juridiske fremstilling, EU-Lovteknik, 2013, s. 489.
1.8. Nrmere om forordningens gennemfrelse i dansk ret
17
Der kan i forbindelse med udarbejdelse af den supplerende danske lovgivning opst behov
for at gengive dele af eller hele forordningen i en lov eller bekendtgrelse. EU-Domstolen
anerkender, at en sdan gengivelse kan finde sted, blot det udtrykkeligt anfres i loven
eller bekendtgrelsen, at der er tale om en gengivelse af en forordning.7 I databeskyttelses-
forordningens prambelbetragtning nr. 8 er det prciseret, at forordningens bestemmelser
kan gengives i nationale regler, i det omfang det er ndvendigt af hensyn til sammenhn-
gen og for at gre de nationale bestemmelser forstelige for de personer, som de finder
anvendelse p.
Som flge af databeskyttelsesforordningens almengyldighed vil forordningen som ud-
gangspunkt fortrnge danske regler, der regulerer de samme forhold som forordningen.
Danmark er dermed forpligtet til at indrette dansk lovgivning i overensstemmelse med for-
ordningens bestemmelser med virkning fra den 25. maj 2018.
Som det ses p baggrund af gennemgangen af forordningens bestemmelser i denne be-
tnkning, er der imidlertid en rkke undtagelser i databeskyttelsesforordningen til dette
udgangspunkt, idet visse regler i forordningen bestemmer, at medlemsstaterne inden for
nrmere bestemte omrder enten skal eller kan faststte nationale regler.
Bestemmelserne i forordningen, hvorefter medlemsstaterne kan eller skal faststte nationa-
le regler, kan opdeles i fire forskellige kategorier.
I den ene kategori er der en rkke bestemmelser i forordningens artikel 6, stk. 2 og 3, arti-
kel 9, stk. 2-4, artikel 87, 88 og 90, der bemyndiger medlemsstaterne til at faststte mere
specifikke bestemmelser inden for rammerne af forordningens harmonisering. Medlems-
staterne har mulighed for at udnytte dette nationale rderum, men de er ikke forpligtede
hertil.
En anden kategori er bestemmelserne i forordningens artikel 8, stk. 1, artikel 36, stk. 5,
artikel 37, stk. 4, artikel 49, stk. 5, artikel 80, stk. 2, og artikel 83, stk. 7 og 9, der giver
medlemsstaterne eksplicitte muligheder for at foretage nogle valg ved lov eller regler fast-
sat med hjemmel i lov. F.eks. kan medlemsstaterne efter artikel 8, stk. 1, vlge en lavere
aldersgrnse end 16 r for, hvornr et barn kan give samtykke til behandling af personop-
lysninger i forbindelse med udbud af informationssamfundstjenester direkte til brn. End-
videre kan medlemsstaterne eksempelvis efter artikel 49, stk. 5, under visse betingelser
7 Nina Holst-Christensen, Skriftlig jura Den juridiske fremstilling, EU-Lovteknik, 2013, s. 487 f. I det til-
flde, hvor forordningen gengives, skal det fremg af en note, at bestemmelserne stammer fra en forordning,
og at gengivelsen er begrundet i praktiske hensyn.
18
udtrykkeligt faststte grnser for overfrsel af srlige kategorier af oplysninger til et tred-
jeland eller en international organisation.
En tredje kategori er bestemmelserne i forordningens artikel 23 og artikel 89, stk. 2 og 3,
hvorefter medlemsstaterne kan faststte regler om begrnsninger og undtagelser til en
rkke forpligtelser og rettigheder, f.eks. undtagelser til eller begrnsninger i forpligtelsen
til at give den registrerede oplysninger i forbindelse med indsamling af personoplysninger
eller begrnsninger i retten for den registrerede til indsigt i oplysninger om sig selv.
Den sidste, fjerde kategori er bestemmelserne i forordningens artikel 43, stk. 1, artikel 51,
stk. 1 og 3, artikel 52, stk. 2-4, artikel 53, stk. 1, artikel 54, stk. 1, artikel 84 og artikel 85,
stk. 1 og 2, som skal gennemfres ved lov af medlemsstaterne. Efter artikel 51, stk. 1 og 3,
skal medlemsstaterne eksempelvis faststte bestemmelser om udpegning eller oprettelse af
en eller flere uafhngige tilsynsmyndigheder.
Forpligtelserne og mulighederne i forordningen for medlemsstaterne til at faststte natio-
nale regler modsvares i et vist omfang af forpligtelser for medlemsstaterne i forordningens
artikel 49, stk. 5, artikel 51, stk. 4, artikel 83, stk. 9, artikel 84, artikel 85, stk. 1 og 2, arti-
kel 88, stk. 3, og artikel 90, stk. 2, til at give Kommissionen meddelelse om de regler, de
faststter (notifikationsforpligtelser). Medlemsstaterne skal sledes f.eks., hvis de benytter
muligheden i artikel 49, stk. 5, for udtrykkeligt at faststte grnser for overfrsel af srli-
ge kategorier af oplysninger til et tredjeland mv., efter samme bestemmelse give Kommis-
sionen meddelelse herom, ligesom medlemsstaterne efter artikel 51, stk. 4, senest den 25.
maj 2018 skal give Kommissionen meddelelse om de bestemmelser, de vedtager p bag-
grund af forpligtelsen hertil i artikel 51, stk. 1 og 3.
Udgangspunktet for persondataloven er, at de regler, der glder inden for lovens alminde-
lige anvendelsesomrde efter lovens 1, stk. 1, som svarer til forordningens anvendelses-
omrde, skal ophves.
Det betyder som udgangspunkt, at regler i den gldende persondatalov ikke kan best efter
den 25. maj 2018, hvorfra forordningen skal anvendes.
Dog er der som anfrt bestemmelser i forordningen, som skal gennemfres i dansk ret, og
bestemmelser, som giver mulighed for at faststte srlige danske regler af mere generel og
tvrgende karakter. Nogle af sdanne danske regler faststtes mest hensigtsmssigt i en
generel lov ssom en ndret eller ny lov om behandling af personoplysninger, f.eks. regler
om oprettelse af en uafhngig dansk tilsynsmyndighed. Det er som nvnt i databeskyttel-
sesforordningens prambelbetragtning nr. 8 prciseret, at forordningens bestemmelser kan
19
gengives i nationale regler, i det omfang det er ndvendigt af hensyn til sammenhngen og
for at gre de nationale bestemmelser forstelige for de personer, som de finder anvendelse
p.
Der vil p den baggrund fortsat vre behov for en generel lov om behandling af personop-
lysninger, hvori sdanne bestemmelser af mere generel, tvrgende karakter faststtes.
Herudover kan der hvis der er et politisk nske herom vre behov at viderefre regler i
persondataloven, der i medfr af lovens 1 glder p omrder, som falder uden for for-
ordningens anvendelsesomrde, og dermed ikke skal ophves eller ndres som flge af
forordningen.
20
2. Forordningens kapitel I: Generelle bestemmelser
2.1. Anvendelsesomrde, artikel 2 og 3
2.1.1. Prsentation
Persondatalovens materielle anvendelsesomrde flger af lovens 1. I lovens 2 flger en
rkke undtagelser til anvendelsesomrdet. Derudover flger persondatalovens territoriale
anvendelsesomrde af lovens 4.
Da persondataloven gennemfrer databeskyttelsesdirektivet, er anvendelsesomrdet srligt
fastsat under hensyn til direktivets anvendelsesomrde. Dog glder persondataloven i vi-
dere omfang end forudsat efter direktivet.
Databeskyttelsesforordningens anvendelsesomrde, som flger af forordningens artikel 2
om det materielle anvendelsesomrde og artikel 3 om det territoriale anvendelsesomrde,
svarer i vidt omfang til direktivets anvendelsesomrde.
2.1.2. Gldende ret
2.1.2.1. Materielt anvendelsesomrde databeskyttelsesdirektivet
Databeskyttelsesdirektivets bestemmelser anvendes iflge direktivets artikel 3, stk. 1, p
behandling af personoplysninger, der helt eller delvis foretages ved hjlp af edb, samt p
ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et regi-
ster.
Definitionen af begreberne personoplysning, behandling og register flger af direktivets
artikel 2, litra a- litra c.
Af direktivets artikel 3, stk. 2, flger en rkke undtagelser i forhold til de behandlinger af
personoplysninger, der er omfattet af stk. 1.
2.1.2.2. Aktiviteter, der ikke er omfattet af fllesskabsretten
Iflge artikel 3, stk. 2, 1. pind, glder direktivet ikke for behandling af personoplysninger,
som ivrksttes med henblik p udvelse af aktiviteter, der ikke er omfattet af flles-
skabsretten, som f.eks. de aktiviteter, der er fastsat i (dagldende) afsnit V og VI i traktaten
om Den Europiske Union, og under ingen omstndigheder for behandling, der vedrrer
den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens konomiske interes-
21
ser, nr behandlingen er forbundet med sprgsml vedrrende statens sikkerhed) og statens
aktiviteter p det strafferetlige omrde.8
I sag C-101/01, Lindqvist, dom af 6. november 2003, undersgte EU-Domstolen, om be-
handling af personoplysninger som led i frivillige og religise aktiviteter kunne anses for at
vre aktiviteter, der ikke var omfattet af fllesskabsretten i den forstand, hvori udtrykket
er anvendt i direktivets artikel 3, stk. 2, 1. pind.9
I sagen havde en person oprettet hjemmesider p internettet for at gre det let for menig-
hedsmedlemmer at forberede konfirmation. Hjemmesiderne indeholdt oplysninger om bl.a.
18 kolleger, herunder med navn og oplysning om kollegernes arbejdsopgaver og fritidsva-
ner. I flere tilflde var ogs deres telefonnummer og familieforhold anfrt. Endelig var der
om en af kollegerne oplyst, at hun havde beskadiget foden og var delvist sygemeldt.
I sagen henviste EU-Domstolen bl.a. til, at de aktiviteter, der er nvnt som eksempler i
denne bestemmelse, dvs. aktiviteter vedrrende den offentlige sikkerhed, forsvar, statens
sikkerhed og statens aktiviteter p det strafferetlige omrde, under alle omstndigheder er
statens eller statslige myndigheders aktiviteter og ikke har noget at gre med omrdet for
den enkelte borgers aktiviteter.10
EU-Domstolen fastslog, at de aktiviteter, der er nvnt som eksempler i direktivets artikel
3, stk. 2, 1. pind, skal fastlgge rkkevidden af de undtagelser, der er fastsat heri, sledes
at denne undtagelse kun finder anvendelse p aktiviteter, der udtrykkeligt er nvnt i be-
stemmelsen, eller som kan henfres til samme kategori.11
Om baggrunden for domstolens konklusion fremgr det, at det retsgrundlag i traktaten,
som databeskyttelsesdirektivet er udstedt med hjemmel i (dagldende artikel 100 A i EF-
traktaten), ikke forudstter, at der altid skal foreligge en tilknytning til den frie bevgelig-
hed mellem medlemsstater.
I prmisserne om baggrunden for EU-Domstolens konklusion henvises bl.a. til de forene-
de sager C-465/00, C-138/01 og C-139/01, sterreichischer Rundfunk m.fl., dom af 20.
maj 2003.12
8 Herved ogs databeskyttelsesdirektivets prambelbetragtning nr. 12 og 13.
9 Sag C-101/01, Lindqvist-sagen, prmis 39.
10 Sag C-101/01, Lindqvist-sagen, prmis 43.
11 Sag C-101/01, Lindqvist-sagen, prmis 44.
12 Sag C-101/01, Lindqvist-sagen, prmis 40-41.
22
Denne sag vedrrte en pligt i strigsk ret, som offentlige institutioner, der er undergivet
Rechnungshofs (den strigske rigsrevision) revision, havde til at give meddelelse om de
indkomster og pensioner over en bestemt strrelse, som de udbetalte til deres ansatte og
tidligere ansatte, samt om modtagernes navne med henblik p udarbejdelse af en rsberet-
ning, der skulle forelgges for Nationalrat (Nationalrdet), Bundesrat (Forbundsrdet) og
for Landtagen (delstatsparlamenterne) og stilles til rdighed for offentligheden.
EU-Domstolen fastslog, at det, der er afgrende for, om det er berettiget at anvende det
pgldende retsgrundlag i traktaten til at udstede direktivet, er, at retsakten har til forml at
skabe bedre vilkr for det indre markeds oprettelse og funktion. Endvidere fremgr det, at
anvendelsen af databeskyttelsesdirektivet sledes ikke afhnger af, om der konkret er en
tilstrkkelig tilknytning til udvelsen af de grundlggende rettigheder i traktaten, navnlig
arbejdskraftens frie bevgelighed. Risikoen ved en modsat fortolkning ville iflge domsto-
len vre, at grnserne for anvendelsesomrdet ville blive srdeles usikre og uberegnelige,
hvilket ville vre uforeneligt med direktivets grundlggende forml, der er at foretage en
indbyrdes tilnrmelse af medlemsstaternes nationale love og administrative bestemmelser
for at fjerne de hindringer for det indre markeds funktion, der netop hidrrer fra forskellene
i de nationale lovgivninger.
Desuden fremgr det, at domstolens forstelse af direktivets artikel 3, stk. 1, bl.a. bekrftes
af bestemmelsens ordlyd, som indeholder en meget bred definition af direktivets anvendel-
sesomrde, idet den ikke gr anvendelsen af beskyttelsesreglerne betinget af, at behandlin-
gen faktisk har tilknytning til den frie bevgelighed mellem medlemsstaterne. Desuden
bekrftes forstelsen iflge domstolen af direktivets artikel 8, stk. 2, som omhandler be-
handlingen af srlige kategorier af oplysninger, og navnlig undtagelserne i stk. 2, litra d,
som vedrrer behandling, der foretages af en stiftelse, en forening eller andet almennyttigt
organ, hvis sigte er af politisk, filosofisk, religis eller faglig art. Domstolen henviser yder-
ligere til de forml, der kommer til udtryk i direktivets artikel 7, litra a og e, og i artikel 13,
litra e og f.13
I Lindqvist-sagen fastslog Domstolen bl.a. p baggrund af dommen i sagerne sterrei-
chischer Rundfunk m.fl., at udtrykket, aktiviteter, der ikke er omfattet af fllesskabsret-
ten, ikke skal fortolkes sledes, at det i hvert enkelt tilflde skal efterprves, om den p-
gldende specifikke aktivitet direkte pvirker den frie bevgelighed mellem medlemssta-
terne.14
Det fremgr sledes tydeligt, at det bl.a. ikke er afgrende for direktivets anvendel-
se, om der er en grnseoverskridende aktivitet.
13
De forenede sager C-465/00, C-138/01 og C-139/01, sterreichischer Rundfunk m.fl., prmis 41-46. 14
Sag C-101/01, Lindqvist-sagen, prmis 42.
23
2.1.2.3. Aktiviteter af rent privat karakter
Databeskyttelsesdirektivet glder iflge direktivets artikel 3, stk. 2, 2. pind, ikke for be-
handling af personoplysninger, som foretages af en fysisk person med henblik p udvelse
af rent personlige eller familiemssige aktiviteter. I direktivets prambelbetragtning nr. 12
er det anfrt, at dette f.eks. er korrespondance og fring af adressefortegnelser.
For nrmere om denne undtagelse henvises til afsnit 2.2. om rent privat karakter.
2.1.2.4. Territorialt anvendelsesomrde
I databeskyttelsesdirektivets artikel 4 er der regler om direktivets territoriale anvendelses-
omrde.
Iflge direktivets artikel 4, stk. 1, litra a, anvender medlemsstaterne de nationale bestem-
melser, som de vedtager til gennemfrelse af direktivet, p behandling af personoplysnin-
ger, der foretages som led i en virksomheds eller et organs aktiviteter inden for den med-
lemsstats omrde, hvor den dataansvarlige er etableret. For en dataansvarlig, som er etab-
leret p flere medlemsstaters omrde, flger det endvidere af bestemmelsen, at denne skal
trffe de ndvendige foranstaltninger til at sikre, at hver af disse virksomheder eller orga-
ner opfylder kravene i den gldende nationale lovgivning.
Definitionen af en dataansvarlig flger af direktivets artikel 2, litra d.
I direktivets prambelbetragtning nr. 19 er det nrmere angivet, at der ved etablering p
en medlemsstats omrde forsts faktisk udvelse af aktiviteter gennem en mere permanent
struktur. Endvidere er det heri angivet, at den pgldende strukturs retlige form, hvad en-
ten det blot er en filial eller et datterselskab med status som juridisk person, ikke har afg-
rende betydning i denne forbindelse. Det er tillige anfrt, at en dataansvarlig, som er etab-
leret p flere medlemsstaters omrde, isr i form af datterselskaber, navnlig for at undg
omgelse, skal sikre sig, at hver enkelt struktur opfylder kravene i den gldende nationale
lovgivning.
I sag C-131/12, Google Spain, dom af 13. maj 2014, har EU-Domstolen fastslet, at der
ikke skal meget til, fr der er tale om behandling af personoplysninger, der foretages som
led i en virksomheds aktiviteter, nr en dataansvarlig i et tredjeland etablerer en filial eller
et datterselskab i en medlemsstat, nr aktiviteterne hos henholdsvis den dataansvarlige og
henholdsvis filialen eller databehandleren er ulseligt forbundne.15
I sagen fandt EU-
Domstolen bl.a., at databeskyttelsesdirektivets artikel 4, stk. 1, litra a, skal fortolkes sle-
15
Sag C-131/12, Google Spain, prmis 50-60.
24
des, at en behandling af personoplysninger foretages som led i aktiviteter, der inden for en
medlemsstats omrde udfres af en dataansvarligs virksomhed eller organ som omhandlet i
bestemmelsen, nr en sgemaskineudbyder etablerer en filial eller et datterselskab i en
medlemsstat, der skal srge for reklame og salg af reklameplads i sgemaskinen, og hvis
aktivitet er rettet mod indbyggerne i denne medlemsstat.16
I sag C-230/14, Weltimmo, dom af 1. oktober 2015, har EU-Domstolen udtalt, at der med
henblik p at fastsl, om en dataansvarlig er etableret i en medlemsstat, br foretages en
vurdering af, i hvor hj grad strukturen er permanent, og i hvilken grad der faktisk udves
aktiviteter i denne anden medlemsstat, idet der i den forbindelse skal tages hensyn til den
specifikke karakter af de pgldende konomiske aktiviteter og de pgldende tjeneste-
ydelser, hvilket navnlig gr sig gldende for virksomheder, der udelukkende udbyder tje-
nesteydelser p nettet.17
Endvidere m det iflge domstolen i den henseende bl.a. i lyset
af det forml, der forflges med databeskyttelsesdirektivet, om at sikre en effektiv og fuld-
stndig beskyttelse af retten til privatlivets fred og undg omgelse antages, at tilstede-
vrelsen af en enkelt reprsentant under visse omstndigheder kan vre tilstrkkeligt til
at udgre en permanent struktur, sfremt denne reprsentant optrder med en tilstrkkelig
grad af stabilitet og under tilstedevrelse af de midler, der er ndvendige for at kunne leve-
re de pgldende konkrete tjenesteydelser i den pgldende medlemsstat.18
Desuden m
det iflge domstolen med henblik p at realisere det nvnte forml antages, at begrebet
etablering, som omhandlet i databeskyttelsesdirektivet, omfatter enhver, selv minimal,
reel og faktisk aktivitet, der udves via en permanent struktur.19
Endvidere fremgr det af EU-Domstolens dom i sag C-191/15, Amazon, dom af 28. juli
2016, at selv om det ikke er udelukket, at en virksomhed i et tredjeland, der hverken har et
datterselskab eller en filial i en medlemsstat, kan anses for etableret i Unionen, er den blot-
te omstndighed, at der er adgang til den pgldende virksomheds hjemmeside fra denne
medlemsstat, ikke tilstrkkeligt for at anse virksomheden for omfattet af direktivets artikel
4, stk. 1, litra a.20
Mens databeskyttelsesdirektivets artikel 4, stk. 1, litra a, vedrrer dataansvarlige etableret
inden for EU, omhandler artikel 4, stk. 1, litra b og c, dataansvarlige etableret i et tredje-
land.
16
Sag C-131/12, Google Spain, prmis 60. 17
Sag C-230/14, Weltimmo, prmis 29. 18
Sag C-230/14, Weltimmo, prmis 30. 19
Sag C-230/14, Weltimmo, prmis 31. 20
Sag C-191/15, Amazon, prmis 76.
25
Iflge artikel 4, stk. 1, litra b, anvender medlemsstaterne de nationale bestemmelser, som
de vedtager til gennemfrelse af direktivet, p behandling af personoplysninger, der fore-
tages af en dataansvarlig, der ikke er etableret p den pgldende medlemsstats omrde,
men p et sted, hvor dens nationale lovgivning glder i henhold til folkeretten.
Endvidere anvender medlemsstaterne iflge artikel 4, stk. 1, litra c, de nationale bestem-
melser, som de vedtager til gennemfrelse af direktivet, p behandling af personoplysnin-
ger, der foretages af en dataansvarlig, der ikke er etableret p Fllesskabets omrde, og
som med henblik p behandling af personoplysninger anvender midler, det vre sig elek-
troniske eller ikke-elektroniske, som befinder sig p den pgldende medlemsstats omr-
de, medmindre disse midler kun benyttes med henblik p forsendelse gennem Det Europ-
iske Fllesskabs omrde. I sdanne tilflde skal den dataansvarlige iflge direktivets arti-
kel 4, stk. 2, udpege en reprsentant, der er etableret p den pgldende medlemsstats
omrde, uden at dette i vrigt berrer eventuelle retslige skridt mod den dataansvarlige
selv.
2.1.2.5. Direktivet i forhold til Frerne og Grnland
I Registerudvalgets betnkning nr. 1345 adresseres det srlige sprgsml om databeskyt-
telsesdirektivet i forhold til Frerne og Grnland. Af betnkningen fremgr det, at det
under hensyn til Grnlands og Frernes srlige retsstilling i relation til Det Europiske
Fllesskab, jf. artikel 136 a og 227 i traktaten om Det Europiske Fllesskab, m Frer-
ne og Grnland efter Registerudvalgets opfattelse antages at skulle anses for tredjelande i
direktivets forstand.21
I den forbindelse kan det bemrkes, at Frerne efterflgende i
henhold til databeskyttelsesdirektivets artikel 25, stk. 6, er godkendt af Kommissionen som
et tredjeland med et tilstrkkeligt beskyttelsesniveau.
2.1.2.6. Materielt anvendelsesomrde persondataloven
I persondatalovens kapitel 1 fastlgges lovens materielle anvendelsesomrde. Lovens terri-
toriale anvendelsesomrde flger af lovens kapitel 3.
Iflge persondatalovens 1, stk. 1, glder loven for behandling af personoplysninger, som
helt eller delvis foretages ved hjlp af elektronisk databehandling, og for ikke-elektronisk
behandling af personoplysninger, der er eller vil blive indeholdt i et register. Det fremgr
af bemrkningerne til persondataloven, at bestemmelsen fastlgger lovens almindelige
anvendelsesomrde under hensyn til anvendelsesomrdet i databeskyttelsesdirektivets arti-
kel 3.22
21
Registerudvalgets betnkning 1345/1997 om behandling af personoplysninger, s. 224. 22
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147, FT 1999/00, de specielle bemrkninger til 1,
stk. 1.
26
Begreberne personoplysninger, behandling og register er nrmere defineret i person-
datalovens 3, nr. 1-3.
Herudover glder reglerne i persondataloven ogs p en rkke omrder, jf. lovens 1, stk.
2-5 og 8, som ikke er forudsat efter direktivet. Iflge persondatalovens 1, stk. 2, glder
loven dog ikke lovens kapitel 8 og 9 for anden ikke-elektronisk systematisk behand-
ling, som udfres for private, og som omfatter oplysninger om personers private eller ko-
nomiske forhold eller i vrigt oplysninger om personlige forhold, som med rimelighed kan
forlanges unddraget offentligheden. Endvidere glder persondatalovens 5, stk. 1-3, 6-
8, 10, 11, stk. 1, 38 og 40 iflge lovens 1, stk. 3, for manuel videregivelse af per-
sonoplysninger til en anden forvaltningsmyndighed.
Persondataloven glder ogs i et vist omfang for oplysninger om virksomheder mv. Iflge
lovens 1, stk. 4, glder loven for behandling af oplysninger om virksomheder mv., jf.
1, stk. 1 og 2, som foretages for kreditoplysnings- og advarselsbureauer. Det fremgr af
bemrkningerne til persondataloven, at det med henvisningen i 1, stk. 4, til stk. 1 og 2,
prciseres, at udvidelsen af lovens omrde til ogs at ang behandling af oplysninger om
juridiske personer kun glder for s vidt angr de behandlingsformer, som i vrigt er om-
fattet af loven.23
Justitsministeren kan i medfr af persondatalovens 1, stk. 6, uden for de
i stk. 4 nvnte tilflde bestemme, at lovens regler helt eller delvis skal finde anvendelse p
behandling af oplysninger om virksomheder mv., som udfres for private.
Persondataloven glder tillige iflge lovens 1, stk. 5, for offentlige myndigheders vide-
regivelse til kreditoplysningsbureauer af oplysninger om virksomheder mv. angende gld
til det offentlige, hvis oplysningerne behandles helt eller delvis elektronisk eller er eller vil
blive indeholdt i et register, jf. henvisningen til stk. 1 i bestemmelsen. Vedkommende mi-
nister kan i medfr af persondatalovens 1, stk. 7, uden for de i stk. 5 nvnte tilflde be-
stemme, at lovens regler helt eller delvis skal finde anvendelse p behandling af oplysnin-
ger om virksomheder mv., som udfres for den offentlige forvaltning.
Endelig glder persondataloven iflge lovens 1, stk. 8, for enhver form for behandling af
personoplysninger i forbindelse med tv-overvgning. Det flger af bemrkningerne til
persondataloven, at bestemmelsen er indsat med henblik p, at lovens omrde skal omfatte
behandling af personoplysninger i forbindelse med offentlige myndigheders tv-
23
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147, FT 1999/00, de specielle bemrkninger til 1,
stk. 3.
27
overvgning med analogt udstyr og tv-overvgning med analogt udstyr, der foretages for
private, hvor oplysningerne ikke behandles systematisk.24
2.1.2.7. Undtagelser fra det materielle anvendelsesomrde
Persondatalovens 2 indeholder regler om undtagelser fra persondatalovens materielle
anvendelsesomrde.
Iflge lovens 2, stk. 1, gr regler om behandling af personoplysninger i anden lovgiv-
ning, som giver den registrerede en bedre retsstilling, forud for reglerne i persondataloven.
Det indebrer bl.a., at sundhedspersoners videregivelse af fortrolige oplysninger afgres
efter sundhedsloven, at reglerne om tavshedspligt i den finansielle lovgivning gr forud for
persondataloven, samt at sprgsml om videregivelse af oplysninger i ansgningssager i
den offentlige sektor reguleres af forvaltningslovens 29.
Bestemmelsen indebrer, at persondataloven finder anvendelse, hvis regler om behandling
af personoplysninger i anden lovgivning giver den registrerede en drligere retsstilling. Det
fremgr imidlertid af bemrkningerne til persondataloven, at dette ikke glder, hvis den
drligere retsstilling har vret tilsigtet og i vrigt ikke strider mod databeskyttelsesdirekti-
vet.25
Endvidere flger det af persondatalovens 2, stk. 2, at loven ikke finder anvendelse, hvis
det vil vre i strid med informations- og ytringsfriheden, jf. Den Europiske Menneskeret-
tighedskonventions artikel 10. Herom fremgr det af bemrkningerne til persondataloven,
at bestemmelsen er indsat for at fjerne enhver tvivl om, at der ikke med persondataloven
gennemfres en regulering, der indebrer begrnsninger i den informations- og ytringsfri-
hed, som flger af den nvnte bestemmelse i Den Europiske Menneskerettighedskonven-
tion.26
Af persondatalovens 2, stk. 3, flger det, at loven ikke glder for behandlinger, som en
fysisk person foretager med henblik p udvelse af aktiviteter af rent privat karakter. Be-
stemmelsen svarer til undtagelsen fra anvendelsesomrdet i databeskyttelsesdirektivet, jf.
direktivets artikel 3, stk. 2, 2. pind.
24
Lovforslag nr. L 162 af 28. februar 2007, FT 2006/07, om ndring af lov om forbud mod tv-overvgning
m.v. og lov om behandling af personoplysninger (Udvidelse af adgangen til tv-overvgning og styrkelse af
retsbeskyttelsen ved behandling af personoplysninger i forbindelse med tv-overvgning), de specielle be-
mrkninger til 2, nr. 1. 25
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147, FT 1999/00, de specielle bemrkninger til 2,
stk. 1. 26
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147, FT 1999/00, de specielle bemrkninger til 2,
stk. 2.
28
Persondataloven finder iflge lovens 2, stk. 4, desuden ikke anvendelse p behandling af
oplysninger, der foretages for Folketinget og institutioner med tilknytning dertil.
Derudover er der i persondatalovens 2, stk. 5-9, en rkke undtagelser vedrrende medi-
ernes behandling af oplysninger. Det fremgr af bemrkningerne til persondataloven, at
disse undtagelser er fastsat inden for rammerne af direktivet, herunder direktivets artikel
9.27
Efter stk. 5 finder loven ikke anvendelse for behandlinger, der er omfattet af lov om mas-
semediers informationsdatabaser. Persondataloven finder efter stk. 6 og 7 heller ikke an-
vendelse p de informationsdatabaser, hvori der udelukkende er indlagt allerede offentlig-
gjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvars-
lovens 1, nr. 1 eller 2, eller hvori der udelukkende er indlagt allerede offentliggjorte tek-
ster, billeder og lydprogrammer, der omfattes af medieansvarslovens 1, nr. 3. Undtagel-
serne i stk. 7 og 8 glder kun, nr indlggelsen i informationsdatabasen er sket undret i
forhold til offentliggrelsen. Endvidere finder loven efter stk. 8-9 ikke anvendelse p ma-
nuelle arkiver over udklip fra offentliggjorte, trykte artikler, som udelukkende behandles i
journalistisk jemed, og for behandling af oplysninger, som i vrigt udelukkende finder
sted i journalistisk jemed eller udelukkende sker med henblik p kunstnerisk eller litterr
virksomhed. Bestemmelserne i persondatalovens 41, 42 og 69 glder dog uanset undta-
gelserne i 2, stk. 5-9.
Endelig glder persondataloven iflge lovens 2, stk. 10, ikke for behandlinger, der udf-
res for politiets og forsvarets efterretningstjenester. Bestemmelsen har sin baggrund i data-
beskyttelsesdirektivets artikel 3, stk. 2, 1. pind.
2.1.2.8. Territorialt anvendelsesomrde
I overensstemmelse med databeskyttelsesdirektivets artikel 4 flger det af persondatalo-
vens 4, stk. 1, at loven geografisk glder for behandling af oplysninger, som udfres for
en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det
Europiske Fllesskabs omrde.
Bestemmelsen omfatter kun dataansvarlige etableret p dansk omrde. Iflge bemrknin-
gerne til persondataloven anses Frerne og Grnland ikke for dansk omrde efter be-
27
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147, FT 1999/00, pkt. 4.2.10.2 og 4.2.10.3 i de
almindelige bemrkninger.
29
stemmelsen.28
Det bemrkes dog, at persondataloven ved kongelig anordning nr. 1238 af
14. oktober 2016 er sat i kraft for Grnland den 1. december 2016.
Endvidere flger det af persondatalovens 4, stk. 2, at loven glder for den behandling,
som udfres for danske diplomatiske reprsentationer.
Efter persondatalovens 4, stk. 3, nr. 1, glder loven ogs for en dataansvarlig, som er
etableret i et tredjeland, hvis behandlingen af oplysninger sker under benyttelse af hjlpe-
midler, der befinder sig i Danmark, medmindre hjlpemidlerne kun benyttes med henblik
p forsendelse af oplysninger gennem Det Europiske Fllesskabs omrde.
Efter lovens 4, stk. 4, er det et krav for dataansvarlige, som i henhold til stk. 3, nr. 1, er
omfattet af persondataloven, at denne skal udpege en reprsentant, som er etableret i
Danmark. Den registreredes mulighed for at foretage retslige skridt mod vedkommende
dataansvarlige berres efter bestemmelsen ikke heraf. Den dataansvarlige skal efter 4,
stk. 5, skriftligt underrette Datatilsynet om, hvem der er udpeget som reprsentant.
Efter persondatalovens 4, stk. 3, nr. 2, glder loven endvidere for en dataansvarlig, som
er etableret i et tredjeland, hvis indsamling af oplysninger i Danmark sker med henblik p
behandling i et tredjeland.
Desuden flger det af persondatalovens 4, stk. 6, at loven glder, hvis der for en dataan-
svarlig, der er etableret i et andet medlemsland, behandles oplysninger i Danmark, og be-
handlingen ikke er omfattet af databeskyttelsesdirektivet, ligesom det flger af bestemmel-
sen, at loven glder, hvis der for en dataansvarlig, der er etableret i en stat, som har gen-
nemfrt en aftale med Det Europiske Fllesskab, der indeholder regler svarende til direk-
tivet, behandles oplysninger i Danmark, og behandlingen ikke er omfattet af de nvnte
regler.
Det bemrkes, at persondatalovens 4, stk. 3, nr. 2, og 4, stk. 6, gr videre end forudsat i
databeskyttelsesdirektivets artikel 4 om det territoriale anvendelsesomrde. Der kan i den
forbindelse bl.a. henvises til bemrkningerne til persondataloven og Registerudvalgets
betnkning nr. 1345.29
28
Bl.a. Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147, FT 1999/00, de specielle bemrkninger
til 4. 29
Forslaget til lov nr. 429 af 31. maj 2000, lovforslag nr. 147, FT 1999/00, pkt. 4.2.3.2 og 4.2.3.3 i de almin-
delige bemrkninger samt Registerudvalgets betnkning 1345/1997 om behandling af personoplysninger, s.
217-224.
30
2.1.3. Databeskyttelsesforordningen
2.1.3.1. Materielt anvendelsesomrde
2.1.3.1.1. Det almindelige anvendelsesomrde
Databeskyttelsesforordningen glder iflge forordningens artikel 2, stk. 1, p behandling
af personoplysninger, der helt eller delvis foretages ved hjlp af automatisk databehand-
ling, og p anden ikke-automatisk behandling af personoplysninger, der er eller vil blive
indeholdt i et register.
Begrebet automatisk databehandling er sammenfaldende med edb eller elektronisk
behandling, som anvendes i databeskyttelsesdirektivets artikel 3, stk. 1.
Bestemmelsen svarer sledes til det gldende databeskyttelsesdirektivs materielle anven-
delsesomrde.
2.1.3.1.2. Undtagelse af aktiviteter, der falder uden for EU-retten
Iflge forordningens artikel 2, stk. 2, litra a, glder forordningen ikke for behandling af
personoplysninger under udvelse af aktiviteter, der falder uden for EU-retten.
I forordningens prambelbetragtning nr. 16 er det anfrt, at der herved er tale om aktivite-
ter ssom aktiviteter vedrrende statens sikkerhed. Eksemplet om statens sikkerhed m p
samme mde som eksemplerne i databeskyttelsesdirektivets artikel 3, stk. 2, 1. pind, umid-
delbart antages at fastlgge rkkevidden af undtagelsen i litra a, sledes at den kun finder
anvendelse p aktiviteter, der kan henfres til statens sikkerhed.
Baggrunden er, at forordningen har det samme grundlggende forml som det gldende
databeskyttelsesdirektiv samt i vidt omfang er en viderefrelse og prcisering af direkti-
vets regler.30
Der m sledes skulle anlgges samme fortolkning af undtagelsen i forord-
ningens artikel 2, stk. 2, som EU-Domstolen, som anfrt ovenfor under afsnit 2.1.2.2., an-
lagde i sterreichischer Rundfunk-sagerne og Lindqvist-sagen for databeskyttelsesdirekti-
vets artikel 3, stk. 2, der ikke adskiller sig vsentligt fra undtagelserne i forordningen.
Sledes finder forordningen ogs anvendelse p aktiviteter, der konkret set ikke har et
grnseoverskridende element. Det samme gr sig gldende p omrder, der ikke som s-
dan hrer under EUs kompetence. Forordningen finder derfor eksempelvis anvendelse i
forbindelse med behandling af personoplysninger i sager om direkte beskatning, selvom
30
Herved bl.a. forordningens artikel 1 og prambelbetragtning nr. 9-13 smh. databeskyttelsesdirektivets
artikel 1 og prambelbetragtning nr. 8-10.
31
direkte beskatning ikke hrer under EUs kompetence.31
Det kan i den forbindelse tilfjes,
at beskyttelse af personoplysninger i medfr af artikel 16 i TEUF er en del af EU-retten.
Ligesom persondataloven glder forordningen derfor ogs for domstolene.
I modstning til persondataloven m forordningen desuden antages at finde anvendelse for
Folketinget og institutioner under Folketinget. For s vidt angr den behandling af person-
oplysninger, der foretages for Folketinget som led i det parlamentariske arbejde, herunder
den betjening af Folketingets medlemmer, som Folketingets Administration foretager, m
der imidlertid foretages en afgrnsning i forhold til informations- og ytringsfriheden,
hvorom de nrmere grnser faststtes ved lov, jf. forordningens artikel 85. For nrmere
om artikel 85 henvises til afsnit 10.1. Den nrmere afgrnsning m i vrigt udfyldes i
praksis.
2.1.3.1.3. Undtagelse af aktiviteter i forbindelse med Unionens flles udenrigs- og sikker-
hedspolitik
Iflge forordningens artikel 2, stk. 2, litra b, og prambelbetragtning nr. 16, glder for-
ordningen ikke for behandling af personoplysninger, som foretages af medlemsstaterne,
nr de udfrer aktiviteter i forbindelse med Unionens flles udenrigs- og sikkerhedspolitik
(afsnit V, kapitel 2, i TEU).
Anvendelsesomrdet for denne bestemmelse m, ligesom undtagelsen i artikel 2, stk. 2,
litra a, antages at skulle fortolkes snvert.
2.1.3.1.4. Undtagelse af fysiske personers rent personlige eller familiemssige aktiviteter
Iflge forordningens artikel 2, stk. 2, litra c, glder forordningen ikke for behandling af
personoplysninger, som foretages af en fysisk person som led i rent personlige eller famili-
emssige aktiviteter.
2.1.3.1.5. Forholdet til retshndhvelsesdirektivet
Iflge forordningens artikel 2, stk. 2, litra d, glder forordningen ikke for behandling af
personoplysninger, som foretages af kompetente myndigheder med henblik p at forebyg-
ge, efterforske, afslre eller retsforflge strafbare handlinger eller fuldbyrde strafferetlige
sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
31
Sag C-279/93, Schumacker, EU-Domstolens dom af 14. februar 1995, hvorefter medlemsstaterne skal
overholde EU-retten, bl.a. bestemmelser om arbejdskraftens frie bevgelighed og forbuddet mod nationali-
tetsdiskrimination, nr de udver deres beskatningskompetence, selvom direkte beskatning er et omrde, der
ikke som sdan hrer under EUs kompetence.
32
Denne undtagelse vedrrer iflge prambelbetragtning nr. 19 forholdet til Europa-
Parlamentets og Rdets direktiv (EU) 2016/680 (retshndhvelsesdirektivet), som iflge
direktivets artikel 2, stk. 1, jf. 1, stk. 1, finder anvendelse for sdanne behandlinger.
Retshndhvelsesdirektivet er gennemfrt i dansk ret ved lov nr. 410 af 27. april 2017.
En kompetent myndighed defineres iflge retshndhvelsesdirektivets artikel 3, stk. 7, litra
a, som enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterfor-
ske, afslre eller retsforflge strafbare handlinger eller fuldbyrde strafferetlige sanktioner,
herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
I Danmark er de kompetente myndigheder politiet, anklagemyndigheden, herunder den
militre anklagemyndighed, kriminalforsorgen, Den Uafhngige Politiklagemyndighed og
domstolene.
Iflge direktivets artikel 3, nr. 7, litra b, er en kompetent myndighed endvidere ethvert an-
det organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret ud-
ver offentlig myndighed og offentlige befjelser med henblik p at forebygge, efterforske,
afslre eller retsforflge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, her-
under beskytte mod og forebygge trusler mod den offentlige sikkerhed.
I databeskyttelsesforordningens prambelbetragtning nr. 19 er det om forholdet til rets-
hndhvelsesdirektivet anfrt, at medlemsstater kan overdrage opgaver, der ikke ndven-
digvis foretages med henblik p at forebygge, efterforske, afslre eller retsforflge strafba-
re handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge
trusler mod den offentlige sikkerhed, til de kompetente myndigheder som omhandlet i
retshndhvelsesdirektivet, sledes at behandling af personoplysninger til disse andre for-
ml, for s vidt som de er omfattet af EU-retten, falder ind under databeskyttelsesforord-
ningens anvendelsesomrde.
Desuden er det anfrt, at medlemsstaterne med hensyn til disse kompetente myndigheders
behandling af personoplysninger til forml, der er omfattet af anvendelsesomrdet for den-
ne forordning, br kunne opretholde eller indfre mere specifikke bestemmelser for at til-
passe anvendelsen af reglerne i denne forordning. Sdanne bestemmelser kan mere prcist
fastlgge specifikke krav til disse kompetente myndigheders behandling af personoplys-
ninger til disse andre forml under hensyntagen til den forfatningsmssige, organisatoriske
og administrative struktur i den pgldende medlemsstat.
33
Nr behandling af personoplysninger foretaget af private organer er omfattet af forordnin-
gens anvendelsesomrde, br forordningen give medlemsstaterne mulighed for p srlige
betingelser ved lov at begrnse visse forpligtelser og rettigheder, nr en sdan begrns-
ning udgr en ndvendig og forholdsmssig foranstaltning i et demokratisk samfund for at
sikre bestemte vigtige interesser, herunder den offentlige sikkerhed og forebyggelse, efter-
forskning, afslring eller retsforflgning af strafbare handlinger eller fuldbyrdelse af straf-
feretlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentli-
ge sikkerhed. Dette er f.eks. relevant inden for rammerne af bekmpelse af hvidvaskning
af penge eller kriminaltekniske laboratoriers aktiviteter.
2.1.3.1.6. Forholdet til forordning (EF) nr. 45/2001
Det flger af forordningens artikel 2, stk. 3, at forordning (EF) nr. 45/2001 finder anven-
delse p behandling af personoplysninger, som Unionens institutioner, organer, kontorer
og agenturer foretager.
Endvidere flger det, at forordning (EF) nr. 45/2001 og andre EU-retsakter, der finder an-
vendelse p sdan behandling af personoplysninger, tilpasses til principperne og bestem-
melserne i forordningen i overensstemmelse med artikel 98.
Kommissionen har den 12. januar 2017 fremsat forslag til revision af forordning nr.
45/2001 om EU's institutioner og organers behandling af personoplysninger. Formlet med
forslaget er at tilpasse den gldende forordning med de principper og bestemmelser, der er
fastsat i den generelle databeskyttelsesforordning, med henblik p at sikre en strk og
sammenhngende databeskyttelsesramme i EU, sledes at begge retsakter finder anvendel-
se samtidig. Forslaget viderefrer de fleste elementer fra det gldende regelst. De v-
sentligste ndringer vedrrer overordnet udvidelsen af reglerne for tilsynsmyndigheden og
dennes sanktionsmuligheder, herunder muligheden for i visse tilflde at plgge EU-
institutioner administrative bder.
2.1.3.1.7. Forholdet til direktiv 2000/31/EF (e-handelsdirektivet)
Det flger af forordningens artikel 2, stk. 4, at forordningen ikke berrer anvendelsen af
direktiv 2000/31/EF, navnlig reglerne om formidleransvar for tjenesteydere, der er fastsat i
artikel 12-15 i nvnte direktiv.
2.1.3.2. Territorialt anvendelsesomrde
2.1.3.2.1. Dataansvarlig eller databehandler etableret i Unionen
Forordningen finder iflge dennes artikel 3, stk. 1, anvendelse p behandling af personop-
lysninger, som foretages som led i aktiviteter, der udfres for en dataansvarlig eller en da-
34
tabehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen
eller ej.
Begrebet etableret m antages at svare til begrebet som anvendt i databeskyttelsesdirek-
tivets artikel 4, stk. 1, litra a. Iflge EU-Domstolen omfatter begrebet enhver, selv mini-
mal, reel og faktisk aktivitet, der udves via en permanent struktur.
Bestemmelsen i artikel 3, stk. 1, adskiller sig p to punkter fra det gldende databeskyttel-
sesdirektivs territoriale anvendelsesomrde, jf. direktivets artikel 4, stk. 1, litra a.
For det frste sondrer bestemmelsen ikke, i modstning til direktivets artikel 4, stk. 1, litra
a, mellem de forskellige medlemsstater. Det afgrende er efter forordningens artikel 3, stk.
1, som anfrt, alene om den dataansvarlige eller databehandleren er etableret i Unionen.
Forordningens bestemmelser forholder sig ikke til valget mellem srreglerne i de forskel-
lige medlemsstater vedtaget nationalt i overensstemmelse med forordningen, f.eks. artikel
6, stk. 2-3, og artikel 8, stk. 1. Det flger dog af databeskyttelsesforordningens prambel-
betragtning nr. 153 om varierende nationale bestemmelser fastsat i medfr af forordnin-
gens artikel 85 om forholdet til ytrings- og informationsfriheden, at det er den nationale ret
i den medlemsstat, den dataansvarlige er underlagt, som br finde anvendelse. Et tilsvaren-
de princip flger af det gldende databeskyttelsesdirektivs artikel 4, stk. 1, litra a, der be-
stemmer om forholdet mellem de forskellige medlemsstaters lovgivninger, som gennemf-
rer direktivet, at det er lovgivningen i den medlemsstat eller de medlemsstater, hvor den
dataansvarlige er etableret, der glder for den dataansvarliges behandlingsaktiviteter.
Det vurderes, at ovennvnte tankegang i forordningens prambelbetragtning nr. 153 og
det gldende databeskyttelsesdirektivs artikel 4, stk. 1, litra a, generelt kan udvides til ogs
at finde anvendelse ved vurderingen af, hvilken medlemsstats nationale srregler, fastsat
inden for rammerne af forordningen, der konkret finder anvendelse p en dataansvarligs
behandlingsaktiviteter.
En medlemsstat m sledes antages at kunne bestemme, at forordningen og national lov-
givning om behandling af personoplysninger, vedtaget inden for forordningens rammer,
finder anvendelse p behandling, der foretages som led i aktiviteter inden for den med-
lemsstats omrde, hvor den dataansvarlige er etableret. P tilsvarende vis flger det som
nvnt af persondatalovens 4, stk. 1, at loven glder for behandling af oplysninger, som
udfres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden
for EU.
35
For det andet udvider forordningen det geografiske anvendelsesomrde til at omfatte data-
behandlere, hvilket m antages at afspejle, at forordningen i hjere grad end det er tilfl-
det for databeskyttelsesdirektivet indeholder specifikke regler vedrrende databehandle-
res behandling af personoplysninger.
2.1.3.2.2. Dataansvarlig og databehandler, der ikke er etableret i Unionen
Iflge forordningens artikel 3, stk. 2, litra a, finder forordningen endvidere anvendelse p
behandling af personoplysninger om registrerede, der er i Unionen, og som foretages af en
dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis behandlingsaktivite-
terne vedrrer udbud af varer eller tjenester til sdanne registrerede i Unionen, uanset om
betaling fra den registrerede er pkrvet.
Yderligere flger det af forordningens artikel 3, stk. 2, litra b, at forordningen finder an-
vendelse p behandling af personoplysninger om registrerede, der er i Unionen, og som
foretages af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis be-
handlingsaktiviteterne vedrrer overvgning af sdanne registreredes adfrd, for s vidt
deres adfrd finder sted i Unionen.
Med forordningens artikel 3, stk. 2, ndres det territoriale anvendelsesomrde i forhold til
det gldende databeskyttelsesdirektivs omrde for dataansvarlige etableret i tredjelande.
Bl.a. er det i forordningens artikel 3, stk. 2, litra a og b, ikke lngere en betingelse, at be-
handlingen af oplysninger sker med hjlpemidler inden for EU. Dog vil hjlpemidler i EU
formentlig i mange tilflde kunne falde inden for anvendelsesomrdet i medfr af forord-
ningens artikel 3, stk. 1, idet der iflge EU-Domstolens praksis ikke skal meget til, fr en
virksomhed mv. anses for etableret i Unionen.
Forordningens artikel 3, stk. 2, er udtryk for et virkningssynspunkt, som ogs kendes inden
fra andre dele af EU-retten, f.eks. p varemrkeomrdet, der gr ud p, at forordningens
skal finde anvendelse p behandlinger, der har virkning for fysiske personer, som befinder
sig inden for EUs grnser.
Herudover er der en forskel i forhold persondatalovens 4, stk. 3, nr. 2, hvorefter loven,
som anfrt ovenfor i afsnit 2.1.2.8., glder for dataansvarlige etableret i tredjelande, hvis
indsamling af oplysningerne i Danmark sker med henblik p behandling i et tredjeland,
idet forordningen iflge artikel 3, stk. 2, kun glder for en sdan behandling foretaget af en
dataansvarlig eller databehandler i et tredjeland, i det omfang behandlingsaktiviteterne
vedrrer udbud af varer eller tjenester til registrerede i Unionen eller vedrrer overvgning
af registreredes adfrd, for s vidt deres adfrd finder sted i Unionen.
36
Endelig finder forordningen iflge dennes artikel 3, stk. 3, anvendelse p behandling af
personoplysninger, som foretages af en dataansvarlig, der ikke er etableret i Unionen, men
et sted, hvor medlemsstaternes nationale ret glder i medfr af folkeretten. Dette svarer til
det gldende territoriale anvendelsesomrde.
2.1.3.2.3. Forordningen i forhold til Frerne og Grnland
I lyset af artikel 204 og artikel 355, stk. 5, litra a, i TEUF og protokol nr. 34 om den srli-
ge ordning for Grnland, der er knyttet til Lissabontrakten, antages forordningen ikke at
finde anvendelse for Frerne og Grnland.
2.1.4. Overvejelser
2.1.4.1. Materielt anvendelsesomrde
Det m antages, at forordningens almindelige anvendelsesomrde svarer til persondatalo-
vens 1, stk. 1, dog med den forskel, at forordningen, modsat persondataloven, ikke uden
videre finder anvendelse for personoplysninger om afdde personer. Det er sledes prci-
seret i forordningens prambelbetragtning nr. 27, at medlemsstaterne kan faststte regler
for behandling af personoplysninger om afdde personer.
Det m samtidig antages, at det vil vre muligt at viderefre persondatalovens 1, stk. 1, i
top related