persondataloven kort fortalt · lov om behandling af personoplysninger ... man kan dog behandle...
TRANSCRIPT
1
Persondataloven – kort fortalt Den 27. februar 2013
Indhold Indledning ......................................................................................................................................................... 2
Lov om behandling af personoplysninger ........................................................................................................ 3
På hvilke områder gælder loven? .................................................................................................................. 3
Hvilke typer behandling? ............................................................................................................................... 3
Undtagelser fra loven .................................................................................................................................... 4
Hvornår må behandling af personoplysninger finde sted? ............................................................................. 5
Grundlæggende krav til databehandling ....................................................................................................... 5
Lovens regler om behandling af personoplysninger ..................................................................................... 6
Tre typer af personoplysninger ..................................................................................................................... 6
Behandling af personoplysninger .................................................................................................................. 7
Behandling af almindelige personoplysninger (§ 6) ...................................................................................... 7
Behandling af følsomme personoplysninger (§ 7)......................................................................................... 8
Behandling af andre følsomme oplysninger (§ 8) ......................................................................................... 8
På hvilke områder gælder der særlige regler? ............................................................................................... 10
Forskning og statistik ................................................................................................................................... 10
Registrering af telefonnumre ...................................................................................................................... 10
Kreditoplysningsbureauer ........................................................................................................................... 10
Overførsel af oplysninger til lande uden for EU .......................................................................................... 10
Hvilke rettigheder har man som registreret? ................................................................................................ 12
Nye rettigheder ........................................................................................................................................... 12
Det omfatter den registreredes rettigheder ............................................................................................... 12
Hvad siger loven om datasikkerhed? ............................................................................................................. 13
Uvedkommende må ikke få adgang til fortrolige oplysninger .................................................................... 13
Oplysninger må kun behandles efter instruks ............................................................................................. 13
Databehandlere ........................................................................................................................................... 13
Hvordan anmelder man behandlinger til Datatilsynet .................................................................................. 14
Anmeldelsesordningens formål ................................................................................................................... 14
Offentlige myndigheders anmeldelsespligt ................................................................................................. 14
2
Indledning
Lovens formål er at gennemføre en generel databeskyttelsesretlig regulering. Loven har sit udspring i et EF-
direktiv fra 1995. De tidligere registerlove [lov om offentlige myndigheders registre og lov om private
registre] vil efter d. 1. januar 2014 ikke længere være gældende.
Den nye persondatalov medfører en række ændringer i forhold til de tidligere registerlove. Det er en
nyskabelse, at persondataloven gælder for enhver form for behandling af personoplysninger.
Registerlovene omfattede derimod kun registrering og videregivelse. Det nye begreb ”behandling” dækker
over enhver form for håndtering af oplysninger, f.eks. indsamling, registrering, systematisering, opbevaring,
ændring, søgning, transmission, overladelse, videregivelse, sammenstilling, blokering, sletning, destruering
m.v.
Datatilsynet er den myndighed, der fører tilsyn med at persondataloven overholdes.
Hjemmeside: www.datatilsynet.dk
Udtrykket ”behandling” omfatter
enhver håndtering af oplysninger,
f.eks. indsamling, registrering,
systematisering, søgning, sletning osv.
3
Lov om behandling af personoplysninger
På hvilke områder gælder loven?
Loven gælder for behandling af personoplysninger, som foretages af offentlige myndigheder og af private
virksomheder, foreninger og lign.
Begrebet ”behandling” omfatter enhver form for håndtering af oplysninger om personer. Nogle af de
vigtigste former er: Indsamling, registrering, systematisering, opbevaring, anvendelse af oplysninger,
videregivelse, sammenstilling, og sletning. Personoplysninger, der er anonymiseret, er dog ikke omfattet. I
modsætning til registerlovene er persondataloven altså ikke begrænset til kun at gælde for registre.
Persondataloven gælder som hovedregel kun for, hvordan man behandler oplysninger om - fysiske –
personer. Visse af lovens regler gælder dog også for, hvordan man behandler oplysninger om
virksomheder, foreninger og lign., f.eks. kreditoplysningsbureauers virksomhed.
Privatpersoners behandling af personoplysninger er som den klare hovedregel helt undtaget fra loven.
Hvilke typer behandling?
Både i den private og offentlige sektor gælder loven først og fremmest for behandling af personoplysninger,
som sker ved brug af elektronisk databehandling. Med andre ord: Loven gælder når der anvendes
hardware- og softwareteknologi, f.eks. tekstbehandlingsprogrammer, systematisering af persondata på en
harddisk. Loven omfatter derimod ikke tekstbehandling, hvor der anvendes en gammeldags elektrisk
skrivemaskine. Loven gælder også, når p ersonoplysninger sendes over internettet eller offentliggøres på
en hjemmeside.
Loven gælder også, hvis oplysningerne skal indgå i et manuelt register. En systematisk samling af
personoplysninger, f.eks. et papirkartotek vil dermed være omfattet af loven.
I modsætning til registerlovene er den
nye persondatalov ikke begrænset til
kun at gælde for registre.
4
Undtagelser fra loven
I en række tilfælde gælder persondataloven ikke – eller kun i begrænset omfang:
Hvis reglerne for databehandlingen findes i en anden lov. Der findes mange love, som indeholder
regler om, hvornår og hvordan myndigheder og virksomheder kan eller skal behandle oplysninger
Hvis databehandlingen er beskyttet af informations- og ytringsfriheden kan persondataloven ikke
indskrænke behandling af persondata. Persondataloven kan dermed ikke udgøre en hindring for
læserbreve, debatindlæg og lign., der indeholder personoplysninger.
Hvis der er tale om aktiviteter af rent privat karakter gælder persondataloven ikke, f.eks. en privat
fortegnelse over adresser
Mange af de rettigheder, som loven giver de registrerede gælder ikke inden for strafferetten. Dette
område reguleres af retsplejeloven.
Loven gælder ikke for de behandlinger, der foretages for Inatsisartut og institutioner med
tilknytning hertil. Loven gælder f.eks. ikke for Inatsisartut’s administration.
Mediernes elektroniske registre er i langt de fleste tilfælde ikke omfattet af loven.
Arkiver med avisudklip, og manuelle arkiver med udklip fra offentliggjorte, trykte artikler er ikke
omfattet af loven, såfremt artiklerne alene bruges til journalistik.
Endelig gælder loven ikke for efterretningstjenesterne.
5
Hvornår må behandling af personoplysninger finde sted?
Reglerne for, under hvilke betingelser offentlige myndigheder og private virksomheder, foreninger m.v. må
behandle personoplysninger, er i vidt omfang skønsmæssige. Det vil derfor ofte afhænge af en konkret
vurdering om betingelserne er opfyldt.
Datatilsynets praksis kan beskrives således, at des mere integritetstruende en behandling er, des mere
skærpes vurderingen af behandlingsbetingelserne.
Grundlæggende krav til databehandling
De grundlæggende krav er:
Når man behandler personoplysninger skal man opretholde en god databehandlingsskik. Dette
indebærer, at den dataansvarlige skal overholde loven, og da reglerne favner et komplekst område
skal den dataansvarlige både overholde lovens ånd og lovens bogstav. God databehandlingsskik
fastlægges gennem Datatilsynets praksis.
Når en dataansvarlig indsamler personoplysninger skal formålet stå klart. Det er ikke tilladt at
indsamle oplysninger uden man på forhånd har et sagligt formål. Man må dermed ikke indsamle
oplysninger blot fordi man forventer at få et formål på et senere tidspunkt.
Oplysninger må kun genbruges hvis der er tale om genbrug, som ikke er uforeneligt med det
oprindelige formål. Det er en konkret vurdering om det senere genbrug er så uvedkommende i
forhold til det oprindelige formål, at behandling ikke kan finde sted.
Indsamlede oplysninger må ikke omfatte mere end nødvendigt for at løse opgaven. Denne regel
modvirker ophobning af personoplysninger.
Den dataansvarlige skal sikre sig, at der ikke behandles urigtige eller vildledende oplysninger
Indsamlede oplysninger skal slettes eller anonymiseres, når det ikke længere er nødvendigt for den
dataansvarlige at være i besiddelse af dem i en form der gør det muligt at identificere de
pågældende personer.
Reglerne er skønsmæssige
Når en dataansvarlig indsamler
oplysninger skal formålet med
indsamlingen stå klart.
6
Lovens regler om behandling af personoplysninger
Loven indeholder en række regler om, hvornår man må indsamle og registrere personoplysninger,
videregive dem osv.. Hvilke regler man skal følge i den enkelte situation afhænger af oplysningernes
karakter og formålet med databehandlingen.
Det er vigtigt at være opmærksom på, at begrebet ”behandling” dækker over en række forskellige måder at
håndtere personoplysninger på. Er man berettiget til at foretage én bestemt form for databehandling
medfører det ikke automatisk, at man er berettiget til at udføre andre former for behandlinger af de
samme oplysninger. Dette hænger sammen med at nogle former er mere integritetstruende end andre,
f.eks. er videregivelse potentielt mere integritetstruende end systematisering på en harddisk.
Normalt giver det ikke anledning til tvivl, at når en offentlig myndighed eller privat virksomhed må indsamle
bestemte oplysninger, så må den også systematisere, registrere, bruge, slette dem. Men det er ikke uden
videre givet, at oplysningerne må f.eks. videregives. Dette skal vurderes særskilt på grundlag af reglerne i
lovens kapitel 4.
Tre typer af personoplysninger
Persondataloven inddeler personoplysninger i tre kategorier:
• Almindelige personoplysninger, jf. § 6, dvs. alle personoplysninger, der ikke er omfattet af §§ 7 og 8.
F.eks. navn, adresse, oplysninger om uddannelse, arbejdsopgaver, økonomiske forhold, kontonummer,
skattemæssige forhold, sygedage, kundeforhold osv.
• Følsomme personoplysninger, jf. § 7, stk. 1. F.eks. racemæssig eller etnisk baggrund, politisk, religiøs eller
filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og helbredsmæssige (fysisk og psykisk ) og
seksuelle forhold.
• Andre følsomme personoplysninger, jf. § 8 stk. 1. F.eks. om strafbare forhold, oplysninger om væsentlige
sociale problemer og oplysninger om andre rent private end de i § 7, stk. 1 nævnte, f.eks.
familiestridigheder, separations- og skilsmissebegæringer, bortvisning fra jobbet, personlighedstest mv.
Persondataloven har tre niveauer af
personoplysninger:Almindelige
personoplysninger, følsomme
personoplysninger og andre følsomme
oplysninger.
7
Generelt vil det være sådan, at der ikke uden samtykke må registreres og videregives almindelige og
følsomme oplysninger i videre omfang end efter registerlovene. Persondataloven giver samtidig
mulighed for, at behandling af personoplysninger, såsom registrering og videregivelse, som har fundet
sted efter registerlovene, også vil kunne ske efter persondataloven.
Behandling af personoplysninger
Behandling af almindelige personoplysninger (§ 6) Behandling af almindelige personoplysninger kan ske, når én af følgende betingelser er opfyldt:
Den registrerede har udtrykkeligt givet sit samtykke. Stiltiende eller indirekte samtykke er ikke
tilstrækkeligt.
Hvis behandlingen er nødvendig for at opfylde en aftale, som den registrerede er part i, f.eks. i
forbindelse med behandling af oplysninger, der fremgår af ordrer og fakturaer
Hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den
dataansvarlige. Denne betingelse bruges ofte af offentlige myndigheder.
Hvis behandlingen er nødvendig for at beskytte den registreredes vitale interesser, f.eks. hvis den
registrerede pga. sygdom ikke er i stand til at give et samtykke.
Hvis behandlingen er nødvendig for at kunne udføre en opgave i samfundets interesse, f.eks. i
videnskabeligt øjemed.
Hvis behandlingen er et led i myndighedsudøvelse. Denne betingelse bruges af oplagte grunde af
offentlige myndigheder, f.eks. når der skal behandles personoplysninger i afgørelsessager og ved
samkøring af oplysninger i kontrolsager. Det sidstnævnte dels udtrykkelig lovhjemmel, dels at
borgeren orienteres om kontrollen, inden denne afgiver oplysninger.
Hvis behandlingen er nødvendig for at varetage en berettiget interesse, og denne interesse
overstiger hensynet til den registreredes interesser. Den dataansvarlige skal anvende denne regel
med forsigtighed.
Udgangspunktet er, at den dataansvarlige
ved behandling af personoplysninger skal
overholde de grundlæggende principper i
persondatalovens § 5 og opfylde én af
betingelserne i persondatalovens §§ 6-8.
8
Behandling af følsomme personoplysninger (§ 7)
Persondatalovens § 7 er baseret på EU-direktivet og indeholder den kategori af oplysninger, der i direktivet
bliver anset for følsomme. Eksemplerne i § 7 er udtømmende beskrevet.
Der må som udgangspunkt ikke behandles følsomme personoplysninger. Når man behandler
personoplysninger, der falder inden for denne kategori, skal man derfor være særlig opmærksom.
Man kan dog behandle følsomme personoplysninger hvis én af følgende betingelser er opfyldt:
Den registrerede har udtrykkeligt givet sit samtykke. Stiltiende eller indirekte samtykke er ikke
tilstrækkeligt.
Hvis behandlingen er nødvendig for at beskytte den registreredes vitale interesser. Der skal være
tale om nærliggende fare for at den registreredes vitale interesser lider et tab, f.eks. fordi den
registrerede er syg og ikke kan give samtykke.
Hvis behandlingen vedrører oplysninger, som er offentliggjort af den registrerede selv. Oplysninger
er offentliggjort, når de er fortalt til en bredere kreds af mennesker, f.eks. via aviser. Det er en
betingelse at offentliggørelsen er sket på den registreredes initiativ.
Hvis databehandlingen er nødvendig for at et retskrav kan fastlægges, uanset om der er tale om
behandlinger som er i den dataansvarliges, tredjemands eller den registreredes interesse.
Behandling af medlemskab af en fagforening kan ske, hvis det er nødvendigt for, at den
dataansvarlige kan overholde arbejdsretlige forpligtelser.
Foreninger og andre almennyttige organisationer vil under visse betingelser kunne behandle
følsomme oplysninger. Behandlingen skal vedrøre oplysninger om organisationens medlemmer
eller personer, der er i regelmæssig kontakt med organisationen.
Behandling af oplysninger kan foretages hvis det er nødvendigt i forbindelse med sygepleje eller
patientbehandling. Behandlingen af personoplysninger skal foretages af en person, der er
undergivet tavshedspligt, og det skal ske i forbindelse med varetagelsen af den dataansvarliges
opgaver på sundhedsområdet
Hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver
på det strafferetlige område. Denne bestemmelse skal sikre, at politi, domstole og
anklagemyndighed kan varetage deres opgaver.
Hvis behandlingen sker af hensyn til vigtige samfundsmæssige interesser. Anvendelse af denne
bestemmelse kræver dog Datatilsynets godkendelse.
Behandling af andre følsomme oplysninger (§ 8)
§ 8 er en særlig dansk regel, der indeholder oplysninger, der ikke blev betragtet som følsomme oplysninger
efter EU-direktivet, men som i dansk ret betragtes som mere beskyttelsesværdige end almindelige § 6-
oplysninger. I modsætning til § 7 er tilfældene i § 8 ikke udtømmende beskrevet og omfatter derfor mere
end det direkte nævnte.
Oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold m.m. anses
også for at være følsomme.
9
Som eksempler på ”andre rent private forhold” kan nævnes familiestridigheder, tvangsfjernelse af børn,
separations- og skilsmissebegæringer og adoptionsforhold.
En offentlig myndighed må kun behandle disse oplysninger, hvis det er nødvendigt for at varetage
myndighedens opgaver. Disse oplysninger må også behandles hvis en af betingelserne i som bruges når der
er tale om følsomme oplysninger er opfyldt.
Myndigheden må som det klare udgangspunkt ikke videregive disse oplysninger. Dette er kun muligt hvis
det følger af lov eller bekendtgørelse, eller hvis den registrerede selv har givet samtykke til videregivelsen.
Derudover kan der kun i særlige tilfælde ske videregivelse. Særligt når der er tale om myndigheder, der
udfører opgaver på det sociale område, gælder der snævre grænser for hvornår personoplysninger kan
videregives.
Videregivelse af denne type af personoplysninger er ikke omfattet af § 8, stk. 1, men selvstændigt
beskrevet i § 8, stk. 2, og § 8, stk. 3.
Behandling af personnumre
De fleste mennesker opfatter personnummeret som en følsom oplysning, fordi nummeret udgør en
”adgangsnøgle” i mange sammenhænge; men i persondatalovens forstand bliver personnummeret ikke
opfattet som en følsom oplysning. Brugen af personnumre er dog særskilt reguleret i lovens § 11. I den
offentlige sektor må man kun bruge personnummeret med henblik på entydig identifikation eller som
journalnummer. Der sondres også her mellem offentlige myndigheder og den private sektor.
Særligt når det drejer sig om
myndigheder, der udfører opgaver på
det sociale område, gælder der snævre
grænser for videregivelse af
personoplysninger.
10
På hvilke områder gælder der særlige regler?
Der gælder en række særregler; men i det følgende beskrives kun de regler som er relevante for offentlige
myndigheder.
Forskning og statistik
Der gælder særlige regler for indsamling, registrering og videregivelse af personoplysninger i forbindelse
med forskning og statistik. I forbindelse med forskning og statistik må der foretages de behandlinger som er
nødvendige for projektet (saglighedsprincippet) men hvis disse oplysninger omfatter følsomme
oplysninger, skal den dataansvarlige anmelde det til Datatilsynet, som skal give en tilladelse. Datatilsynet
fastsætter en række vilkår, der skal beskytte oplysningerne. Oplysninger der indgår i en videnskabelig eller
statistisk undersøgelse, må ikke senere bruges til andre formål,
Registrering af telefonnumre
Det er forbudt for offentlige myndigheder og private virksomheder automatisk at registrere de
telefonnumre, som de ansatte ringer til. Det er heller ikke tilladt, at modtage oversigter fra teleskaber, der
indeholder specifikke oplysninger om de telefonnumre, der er ringet til. Man må dog godt registrere
telefonnumre, hvis det kun er en del af telefonnummeret, der fremgår, f.eks. når de sidste to cifre fjernes. I
ganske særlige tilfælde kan Datatilsynet dog give tilladelse til at registrere de fuldstændige telefonnumre.
Kreditoplysningsbureauer
Offentlige myndigheder skal følge en bestemt procedure, før oplysninger om en borgers gæld kan
indberettes til et kreditoplysningsbureau. Desuden skal den samlede gæld til det offentlige være mindst
7.500 KR.
Kreditoplysningsbureauer må også videregive gældsoplysninger, der modtages fra offentlige myndigheder.
Overførsel af oplysninger til lande uden for EU
Loven indeholder særlige betingelser for, i hvilke situationer der må overføres til lande uden for EU. En
sådan overførsel må som hovedregel kun ske, når modtagerlandet sikrer en tilstrækkelig beskyttelse. På
Datatilsynets hjemmeside findes en opdateret liste over lande der har fået en sådan
tredjelandsgodkendelse. Loven indeholder dog forskellige undtagelser fra hovedreglen. I praksis vil det
derfor være muligt at få overført oplysninger om sig selv, f.eks. i forbindelse med almindelige
rejseaktiviteter.
11
Hvis en offentlig myndighed har overdraget håndteringen af en opgave til en ekstern databehandler skal
man være opmærksom på, databehandleren overfører data i net, der krydser landegrænser. Hvis det er
tilfældet bliver overførslen med det samme grebet af persondatalovens særlige regler om
tredjelandsoverførsler. Dette er f.eks. ofte tilfældet med databehandling ”i skyen”.
Den 1. januar 2013 trådte en ændring af persondataloven i kraft. Denne ændring har bl.a. medført, at det
ikke længere er nødvendigt at anmelde tredjelandsoverførsler til datatilsynet, såfremt man anvender en af
EU's standardkontrakter. Ændringen har dog ikke rokket ved det grundlæggende krav, at modtagerlandet
skal sikre et passende beskyttelsesniveau.
12
Hvilke rettigheder har man som registreret?
Loven giver den enkelte borger en række rettigheder over for de myndigheder, virksomheder, foreninger
m.v., som behandler oplysninger om den pågældende. Nogle af rettighederne kendes allerede fra
registerlovgivningen, f.eks. retten til at få indsigt i oplysninger om en selv.
Nye rettigheder
Persondataloven indeholder desuden en række nye rettigheder, der skal forbedre den enkelte borgers
retsstilling. Forbedringen skal bl.a. ske ved, at der skabes mere åbenhed om, hvordan man behandler
personoplysninger, og ved at de registrerede personer får adgang til at gøre indsigelse over for bestemte
former for behandling af personoplysninger.
Det omfatter den registreredes rettigheder
Den registreredes rettigheder omfatter kort fortalt følgende:
Ret til at modtage besked fra den dataansvarlige om, at der bliver indsamlet oplysninger om
vedkommende.
Ret til indsigt i de oplysninger, der behandles om en selv.
Ret til at gøre indsigelse mod, at behandling af personoplysninger finder sted, og hvis indsigelsen er
berettiget, skal databehandlingen ophøre.
Ret til at gøre indsigelse mod, at man undergives afgørelser, som alene er truffet på grundlag af
elektronisk databehandling,
Ret til at få urigtige eller vildledende oplysninger rettet, blokeret eller slettet, samt at forlange, at
andre modtagere af oplysningerne orienteres om dette.
Ret til at tilbagekalde samtykke.
Ret til at klage til Datatilsynet over behandling af personoplysninger om en selv.
Hvis en borger ønsker indsigt i oplysninger, som
behandles om vedkommende, skal borgeren
henvende sig direkte til den myndighed eller
virksomhed, der har oplysningerne. Datatilsynet
kommer kun ind i billedet hvis man er utilfreds med
myndighedens eller virksomhedens svar, og ønsker
at klage.
13
Hvad siger loven om datasikkerhed?
Lovens regler om datasikkerhed er grundlæggende de samme som i registerlovene; men det teknologiske
miljø har udviklet sig hastigt siden de gamle registerlove kom til verden i slutningen af 1970erne, og
spørgsmålet om datasikkerhed er derfor ganske komplekst. Datatilsynet har udarbejdet en vejledning om
datasikkerhed, der kan findes på Retsinformations hjemmeside:
https://www.retsinformation.dk/Forms/R0710.aspx?id=1002
Nogle af lovens væsentligste regler beskrives nedenfor.
Uvedkommende må ikke få adgang til fortrolige oplysninger
Den dataansvarlige skal sørge for, at oplysninger ikke kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven. Dette indebærer først og fremmest, at uvedkommende ikke må
skaffe sig adgang til fortrolige oplysninger om andre menneskers forhold.
Oplysninger må kun behandles efter instruks
Som noget nyt fastslår persondataloven, at de personer eller virksomheder, der arbejder for den
dataansvarlige, kun må behandle personoplysninger efter instruks fra den dataansvarlige. Instruksen kan
følge af en bestemt stillingsfunktion.
Databehandlere
Instruksen kan også fremgå af en databehandlerkontrakt. Formålet hermed er at den dataansvarlige ikke
må stille sig i en situation hvor man ikke længere har kontrol over sine data.
Den dataansvarlige skal sikre sig, at databehandleren kan sørge for den nødvendige datasikkerhed, og den
dataansvarlige har pligt til at sikre sig, at databehandlerens forhold er i orden.
14
Hvordan anmelder man behandlinger til Datatilsynet
Anmeldelsesordningens formål
Anmeldelserne erstatter de hidtidige registerforskrifter. Anmeldelsesordningen har et dobbelt formål. For
det første får Datatilsynet en mulighed for at kunne kontrollere nogle af de mere følsomme behandlinger,
der foregår. For det andet bliver behandlingerne kendt for offentligheden.
Loven stiller en række krav til, hvilke oplysninger en anmeldelse skal indeholde. Det gælder blandt andet
den dataansvarliges navn og adresse, behandlingens navn, og formål samt oplysninger om personkredsen
og de oplysninger, der behandles. En anmeldelse må gerne dække behandlinger, der foregår flere
forskellige steder, og både manuelle behandlinger og behandlinger ved brug af elektronisk teknologi kan
indgå i anmeldelsen.
Anmeldelsen kan sendes til Datatilsynet via tilsynets hjemmeside. Det er også muligt, at indsende
anmeldelsen via post. Papirblanketter kan rekvireres fra Datatilsynet eller udskrives fra hjemmesiden.
Offentlige myndigheders anmeldelsespligt
Som udgangspunkt skal enhver behandling af personoplysninger, der foretages for en offentlig myndighed,
anmeldes til Datatilsynet, forinden behandlingen igangsættes.
Behandlinger, der ikke indeholder følsomme personoplysninger eller fortrolige oplysninger, bortset fra
identifikationsoplysninger og oplysninger om betaling til og fra en offentlig myndighed, er fritaget for
anmeldelse. Endvidere er visse behandlinger, der kun i begrænset omfang omfatter fortrolige oplysninger
undtaget anmeldelsespligten. De nærmere regler om de behandlinger, der er fritaget fra
anmeldelsespligten fremgår af en vejledning, som Datatilsynet har udarbejdet, og som kan hentes på
Retsinformations hjemmeside.
https://www.retsinformation.dk/Forms/R0710.aspx?id=849
hjemmeside.
Datatilsynet offentliggør anmeldelserne i en særlig fortegnelse over anmeldte behandlinger, som også
findes på tilsynets hjemmeside.
Anmeldelse erstatter de hidtidige
registerforskrifter.
Offentlige myndigheder skal ofte have
en udtalelse fra Datatilsynet forinden
en databehandling igangsættes