Forvaltningsret Sagsbehandling

Transkript

1 Karsten Revsbech Carl Aage Nørgaard Jens Garde TILLÆG (ændringer) til bogen Forvaltningsret Sagsbehandling 7. udgave I anledning af ny databeskyttelsesforordning og databeskyttelseslov mv. Jurist- og Økonomforbundets Forlag 2018

2

3 Forord Bogen Karsten Revsbech, Carl Aage Nørgaard og Jens Garde, Forvaltningsret sagsbehandling, 7. udg., udkom i For så vidt angår databeskyttelse omhandler den derfor persondataloven. Denne lov bliver den 25. maj 2018 erstattet af databeskyttelsesforordningen og databeskyttelsesloven. Den nævnte ændring af regelgrundlaget har nødvendiggjort dette tillæg, der erstatter sider, afsnit, sætninger og ord vedrørende persondataloven med en omtale af databeskyttelsesforordningen og databeskyttelsesloven. Databeskyttelsesloven er ikke vedtaget i skrivende sund, og omtales derfor ud fra lovforslag nr. L 68 fremsat den 25. oktober Tillægget er afleveret med henblik på offentliggørelse den 5. januar Karsten Revsbech Januar

4

5 Indholdsoversigt vedrørende tillægget Forord (til tillægget)... 3 Indholdsfortegnelsen til»forvaltningsret sagsbehandling«, 7. udg. (ændringer)... 6 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer). 7 Kapitel II. Kompetence (ændringer) Kapitel III. Habilitet (ændringer) Kapitel IV. Sagens rejsning (ændringer) Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer).. 25 Kapitel VI. Rettigheder for parter m.fl. under sagsforberedelsen (ændringer) Kapitel VII. Offentlighed og tavshedspligt (ændringer) Kapitel VIII. Sagens afgørelse (ændringer) Kapitel IX. Form, begrundelse og klagevejledning(ændringer) Kapitel X. Bekendtgørelse og kommunikation (ændringer) Kapitel XI. Sanktioner over for sagsbehandlingsfejl (ændringer)

6 Indholdsfortegnelse (ændringer) Indholdsfortegnelsen til Forvaltningsret sagsbehandling, 7. udg., dvs. bogens s. 6-14, nævner flere steder ordet»persondataloven«og lign., hvilket erstattes af»databeskyttelsesforordningen«og»databeskyttelsesloven«mv. på denne måde: Kap. I.D.3. Persondataloven erstattes af: Databeskyttelsesforordningen (og -loven) Kap. I.D.3.a. Lovens erstattes af: Forordningens (og lovens) Kap. I.D.3.b. Lovens erstattes af: Forordningens (og lovens) (herudover flere nye afsnit og ændrede afsnitsnumre i kap. I.D.3, som ikke nævnes her) Kap. V.B.C. Særligt om persondataloven erstattes af: Særligt om databeskyttelsesforordningen (og -loven) Kap. V.B.2.c. Særligt om behandling af personoplysninger efter persondataloven erstattes af: Særligt om behandling af personoplysninger efter databeskyttelsesforordningen (og -loven) Kap. VI.E. Særligt om oplysningspligt og indsigelsesret efter persondataloven erstattes af: Særligt om oplysningspligt og indsigelsesret efter databeskyttelsesforordningen og -loven Kap. VII.B.4. Den registreredes indsigtsret efter persondataloven erstattes af: Den registreredes indsigtsret efter databeskyttelsesforordningen (og -loven) Kap. VII.C.e. Særligt om persondataloven mv. erstattes af: Særligt om databeskyttelsesforordningen (og -loven) mv

7 KAPITEL I De forvaltningsretlige sagsbehandlingsregler (ændringer) Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) s. 16, linje 16. persondataloven erstattes af: databeskyttelsesforordningen og -loven. s. 27, linje 25 s. 34, linje 7, udgår og erstattes af: 3. Databeskyttelsesforordningen (og -loven) a. Forordningens (og lovens) baggrund mv. Som yderligere et regelsæt af generel betydning for forvaltningens sagsbehandling og lignende skal omtales databeskyttelsesforordningen 1 og den udfyldende, præciserende og supplerende databeskyttelseslov. 2 De to nævnte regelsæt finder anvendelse fra den 25. maj Databeskyttelsesforordningen erstatter et EU-direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 3 og den danske persondatalov, 4 (der aflø- 1. Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)(2016/679). 2. Endnu (i skrivende stund) ikke vedtaget lov nr. af om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven). (Lovforslag nr. L 68, fremsat 25. oktober 2017). 3. Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 (senere ændret ved Europa-Parlamentets og Rådets forordning 1882/2003). 4. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 7

8 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) ste den tidligere lov om offentlige myndigheders registre 5 og den tidligere lov om private registre mv. 6 ). Det er væsentligt at være opmærksom på, at forordningen er et EU-retligt regelsæt, der i visse henseender ikke stemmer helt overens med traditionel dansk forvaltningsretlig tankegang og i nogen grad præges af en anderledes sprog- og begrebsbrug. Databeskyttelsesforordningen indeholder på en række punkter mulighed for, at den enkelte medlemsstat kan fastsætte egne udfyldende regler. Bl. a. på den baggrund er der fastsat en dansk databeskyttelseslov, som på visse punkter præciserer og udfylder forordningen og på andre punkter supplerer denne (samt på nogle punkter gentager regler i forordningen). Databeskyttelsesforordningen har, som det allerede fremgår af dens titel, et dobbelt formål. Udtrykt mere overordnet skal den sikre, at personoplysninger kan udveksles mellem medlemslande, og at forhold i de nationale lovgivninger ikke hindrer udøvelse af en række aktiviteter på fællesskabsplan (sikre fri bevægelighed, fremme myndighedssamarbejder mv.). Samtidig skal der sikres et ensartet og højt beskyttelsesniveau af privatlivets fred og andre rettigheder for personer ved behandlingen af personoplysninger. Det skal fremhæves, at forordningen også bygger på det forhold, at beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I art. 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og i art. 16 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende. 7 Et analysearbejde i forbindelse med udarbejdelse af betænkning 1565/2017 om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning har vist, at databeskyttelsesforordningen i vidt omfang svarer til retstilstanden efter persondataloven og databeskyttelsesdirektivet med tilhørende praksis fra bl.a. EU-domstolen og Datatilsynet. Bl.a. svarer forordningens centrale bestemmelser om det materielle anvendelsesområde, definitioner, principper for behandling af personoplysninger, behandlingsregler, de registreredes rettigheder og behandlingssikkerhed i grove træk til, hvad der var gældende efter persondataloven og databeskyttelsesdirektivet. Imidlertid indeholder forordningen også bestemmelser, som er nyskabelser i forhold til den retstilstand, som gjaldt efter persondataloven og databeskyttelsesdirektivet. Kravene til samtykke er således uddybet i selve forordningsteksten, det er ikke længere muligt for myndigheder at behandle person- 5. Senest lovbek. nr. 654 af 20. september Senest lovbek. nr. 622 af 2. oktober Jf. forordningens præambelbetragtning 1. 8

9 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) oplysninger efter en interesseafvejningsregel, og der er sket forskellige styrkelser af de registreredes rettigheder. Andre eksempler er bestemmelserne om databeskyttelsesrådgivere, konsekvensanalyse og fortegnelser over behandlingsaktiviteter samt en udtrykkelig bestemmelse om databeskyttelse gennem design og gennem standardindstillinger (»data protection by design«mv). 8 Der er i skrivende stund udstedt en række vejledninger 9 i tilknytning til forordningen. b. Forordningens (og lovens) anvendelsesområde mv. Forordningen og loven gælder både for offentlige myndigheder og for private virksomheder, foreninger og lignende. 10 Forordningen og loven gælder også for Folketinget med tilknyttede institutioner, dvs. at Folketingets administration, Folketingets Ombudsmand, Rigsrevisionen og Statsrevisorerne samt disses sekretariater også er omfattet. Dog finder de to regelsæt ikke anvendelse på behandling af oplysninger, der foretages som led i Folketingets parlamentariske arbejde, jf. databeskyttelseslovens 3, stk. 3. Også domstolene er principielt omfattet. Visse regler, f.eks. databeskyttelsesforordningens art. 37, stk. 1, litra a, og databeskyttelseslovens 8, stk. 1 og 2, gælder kun for offentlige myndigheder (og offentlige organer). I disse tilfælde afgrænses (ifølge betænkning 1565/2017) i en dansk sammenhæng den del af de offentlige myndigheder mv., som udgøres af den offentlige forvaltning, på samme måde som i forvaltningsloven (dennes 1, stk. 1 og 2). 11 I det følgende omtales i øvrigt kun regler og forhold af interesse for den offentlige forvaltning, mens forhold, der udelukkende vedrører domstolene og private virksomheder mv., udelades. Forordningen og loven gælder ikke fuldt ud for alle offentlige myndigheder. Således omfatter disse regelsæt ikke den behandling af personoplysninger, som foretages af politiet og forsvarets efterretningstjenester (lovens 3, stk. 2). Heller ikke den databehandling, som foretages af kompetente myn- 8. Se betænkning 1565/2017, s. 15 og Se Justitsministeriet, Datatilsynet m.fl., Databeskyttelsesforordningen, oktober 2017, Vejledning om databeskyttelsesrådgivere, september 2017, Vejledning om samtykke, november 2017, Vejledning om dataansvarlige og databehandlere, november Vejledninger til databeskyttelsesforordningen fra artikel 29-gruppen (som kan findes på Datatilsynets hjemmeside under»vejledninger, databeskyttelsesforordningen«). 10. Databeskyttelsesforordningen og databeskyttelsesloven gælder ikke for behandling af personoplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter (dvs. aktiviteter, som foretages uden forbindelse med erhvervsmæssig eller kommerciel aktivitet), jf. forordningens art. 2, stk. 2, litra c (og præambelbetragtning 18). 11. Se således betænkning 1565/ 2017, s

10 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) digheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner er omfattet, jf. forordningens art 2, stk. 2, litra d (og præambelbetragtning 19) er omfattet, idet denne behandling er undergivet Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (og lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger). Dette vil i det væsentlige indebære, at behandlinger foretaget af politiet, anklagemyndigheden, Kriminalforsorgen og Den Uafhængige Politiklagemyndighed samt domstolene inden for det strafferetlige område, ikke omfattes af forordningen og loven. 12 Forordningen og loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af automatisk databehandling (edb), jf. forordningens art. 2, stk. 1. Det vil sige, at loven ikke gælder for traditionel, manuel sagsbehandling, der foretages uden anvendelse af computer 13 (se dog straks nedenfor om manuelle registre samt databeskyttelseslovens 2. stk. 1, jf. forvaltningslovens 28, hvorefter lovens 6-8, 10 og 11, stk. 1, samt databeskyttelsesforordningens art. 5, stk. 1, litra a-c, art. 6, art. 7, stk. 3, 1. og 2. pkt., art. 9, art. 10 og art. 77, stk. 1, også gælder for manuel videregivelse af personoplysninger til en anden forvaltningsmyndighed). Forordningen og loven gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning, jf. databeskyttelseslovens 2, stk. 4. Da langt størstedelen af moderne sagsbehandling i et vist omfang foregår ved hjælp af computerteknik, får loven betydning for næsten al sagsbehandling i den offentlige forvaltning, for så vidt at der indgår personoplysninger. Det skal i den forbindelse bemærkes, at udtrykket automatisk databehandling (edb) også omfatter skrivning af breve på et tekstbehandlingssystem, uanset om dette er lokalt eller cloudbaseret (derimod ikke på en gammeldags elektrisk skrivemaskine), hvis der indgår personoplysninger. Endvidere omfatter udtrykket behandling af persondata såvel i en pc som ved brug af andre devices som tablets og smartphones samt Internet of Things-teknologier (IoT). Loven gælder også, når personoplysninger sendes over internettet, og når personoplysninger offentliggøres på en hjemmeside. Loven gælder (som det vil fremgå ovenfor) endvidere, hvis oplysningerne skal indgå i et manuelt regi- 12. Jf. 1, stk. 1, i lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger 13. I FOB erklærede Folketingets Ombudsmand sig enig i, at et brev, som udfærdiges i et digitalt sagsbehandlingssystem og herefter sendes manuelt som brev med postvæsenet, er omfattet af persondataloven (idet det udskrives fra et it-system med henblik på umiddelbar videregivelse). (Se også FOB (s. 168)). 10

11 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) ster, jf. forordningens art. 2, stk. 1. En systematisk samling af personoplysninger i f.eks. et papirkartotek er derfor omfattet af loven. 14 Udtrykket behandling er i forordningens art. 4, nr. 2, defineret som enhver aktivitet eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Behandling omfatter således enhver form for måde at håndtere oplysninger om personer på. Som de vigtigste former for behandling kan nævnes indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning samt sletning eller tilintetgørelse. Også almindelig tekstbehandling, hvori der indgår personoplysninger, f.eks. skrivning af breve, sagsreferater, notater mv., er omfattet af udtrykket behandling. 15 Det samme gælder behandling af personoplysninger i regneark og indskanning af almindelige papirdokumenter. Det er uden betydning, om der behandles oplysninger om én eller flere personer. Forordningen og loven normerer som hovedregel kun, hvordan man behandler oplysninger om personer. Personoplysninger er defineret i forordningens art. 4, nr. 1, som enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). 16 Er f.eks. navn og adresse erstattet med en kode, der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadig være tale om en personoplysning i lovens forstand, jf. om pseudonymisering forordningens artikel 4, nr. 5. Pseudonymiserede oplysninger er dermed også omfattet, idet nogen kan gøre oplysningerne læsbare og dermed identificere de personer, som oplysningerne vedrører. 17 Det gælder også for krypterede data. 18 Oplysninger, der er gjort anonyme på en sådan måde, at personen ikke længere kan identificeres, er derimod ikke omfattet af lovens definition af personoplysninger. 14. Se definitionen af register i databeskyttelsesforordningens art. 4, nr Også telefonisk videregivelse af personoplysninger fra et tekstbehandlingsanlæg er antagelig behandling i databeskyttelsesforordningens og -lovens forstand, jf. U H om persondataloven. 16. Visse af databeskyttelseslovens regler normerer dog også, hvordan man behandler oplysninger om virksomheder mv. Det gælder således lovens 2, stk. 2 og Pseudonymisering er at udskifte navne, adresser osv. med X og Y og herefter gemme i en anden fil, hvad X og Y står for. 18. Kryptering er en teknisk måde at få hele den samlede fil til at blive til ulæselige og uforståelige tegn. Her»splitter«man altså ikke oplysningerne op i to filer, men gør en og samme fil ulæselig for alle andre end dem, der har programmet til at»dekryptere«, altså føre teksten tilbage til den oprindelige form. 11

12 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) I forbindelse med personoplysninger kan det nævnes, at databeskyttelsesforordningen finder anvendelse på afdøde personer i 10 år efter vedkommendes død, jf. databeskyttelseslovens 2, stk. 5 og 6. Forordningen og loven stiller krav til den dataansvarlige. Dette begreb er fastlagt i forordningens art. 4, nr I den offentlige forvaltning er det den enkelte offentlige myndighed, der er dataansvarlig, ikke enkeltpersoner ansat i myndigheden. Det må afgøres konkret, om en offentlig myndighed må anses for at være en selvstændig myndighed og dermed kan være dataansvarlig eller om myndigheden indgår som en del af en anden myndighed. Databehandleren er i forordningens art. 4, nr. 8, defineret som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler oplysninger på den dataansvarliges vegne. Det skal nævnes, at det af databeskyttelseslovens 1, stk. 3, fremgår, at regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i databeskyttelsesloven. Som eksempel på sådanne regler kan nævnes de mere restriktive videregivelsesregler i kapitel 9 i sundhedsloven. I databeskyttelseslovens 3, stk. 1, er det fastsat, at loven og databeskyttelsesforordningen ikke finder anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions art. 10 og Den Europæiske Unions charter om grundlæggende rettigheder art. 11. Som det fremgår, har databeskyttelsesforordningen og databeskyttelsesloven et bredt anvendelsesområde og vil have betydning for stort set al forvaltningsvirksomhed. c. Regler om behandling. Databeskyttelsesforordningen indeholder nærmere regler for behandlingen af personoplysninger. I art 5 er der indsat nogle generelle principper for behandlingen, som den dataansvarlige skal sikre bliver respekteret og skal kunne påvise overholdelsen af, jf. art. 5, stk. 2, om ansvarlighed. Disse principper er følgende: Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«) 19. Se Datatilsynet m.fl., Vejledning om dataansvarlige og databehandlere, november

13 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål (i overensstemmelse med artikel 89, stk. 1) skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«, finalitéprincippet). Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) Personoplysninger skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«) Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål (i overensstemmelse med artikel 89, stk. 1), under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«) Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«). Princippet om formålsbegrænsning i art. 5, stk. 1, litra b, er uddybet ved databeskyttelseslovens 5, stk. 2 (se også forordningens art. 6, stk. 4), der angiver nogle hensyn, som skal indgå ved den dataansvarliges stillingtagen til, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til Dette kan dog på nogle områder være fraveget ved bekendtgørelse (inden for rammerne af databeskyttelsesforordningens art. 23), jf. databeskyttelsesforordningens 5, stk

14 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) De ovenstående principper er for de flestes vedkommende indbygget i mere konkrete bestemmelser i forordningen, men de har også en vis selvstændig betydning. Reglerne om behandling i databeskyttelsesforordningens art (navnlig art. 6 og 9), der er centrale i forordningen, omtales nærmere i kap. V.B.1.c 21 og 2.a d. Den registreredes rettigheder. Den registrerede har en række rettigheder efter databeskyttelsesforordningen. Ifølge forordningens art. 13 og 14 skal den dataansvarlige give den registrerede visse oplysninger, når der sker indsamling af personoplysninger om den pågældende. Der gælder dog nogle undtagelser. Oplysningspligten omtales nærmere i kap. VI.E nedenfor. 23 Efter reglerne i forordningens art. 15 har den registrerede endvidere indsigtsret. Den indebærer, at den pågældende har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og en række informationer, bl.a. om formålene med behandlingen. Indsigtsretten behandles nærmere i kap. VII.B.4 nedenfor. 24 Ifølge forordningens art. 16 har den registrerede ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse, og efter art 17. har den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis visse forhold gør sig gældende. 25 Efter art. 18 har den registrerede ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af nogle nærmere bestemte forhold gør sig gældende, og art. 21 giver den registrerede ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger. Ifølge art. 22 har den registrerede ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende. 21. Bogens s. 156 ff. (nu erstattet af afsnit nedenfor i nærværende tillæg). 22. Bogens s. 168 ff. (nu erstattet af afsnit nedenfor i nærværende tillæg). 23. Bogens s. 212 ff. (nu erstattet af afsnit nedenfor i nærværende tillæg). 24. Bogens s. 268 ff. (nu erstattet af afsnit nedenfor i nærværende tillæg). 25. Lidt forenklet udtrykt drejer art. 16 sig om forkerte oplysninger, mens art. 17 angår rigtige, men gamle oplysninger. 14

15 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) Endvidere har den registrerede ret til at tilbagekalde et samtykke, jf. databeskyttelsesforordningens art. 7, stk. 3, samt klageret efter forordningens art. 77 og databeskyttelseslovens 39. e. Konsekvensanalyse, databeskyttelsesrådgiver. Den tidligere anmeldelsesordning er afskaffet. I stedet er indført regler om konsekvensanalyse. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, jf. databeskyttelsesforordningens art. 35, stk. 1, og præambelbetragtning 90 og 91. En sådan konsekvensanalyse er navnlig påkrævet, hvor der skal ske en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, eller en behandling i stort omfang af særlige kategorier af (særligt følsomme) oplysninger eller systematisk overvågning af et offentligt tilgængeligt område i stort omfang, jf. forordningens art. 35, stk. 3. Konsekvensanalysen skal bl.a. omfatte en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder og de foranstaltninger, der påtænkes for at imødegå disse risici, jf. databeskyttelsesforordningens art. 35, stk. 7. Som noget nyt stilles der i databeskyttelsesforordningens art 37, stk. 1, krav om, at den dataansvarlige og databehandleren skal udpege en databeskyttelsesrådgiver, 26 bl.a. når behandling foretages af en offentlig myndighed eller et offentligt organ (undtagen domstole, der handler i deres egenskab af domstol). Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, bl.a. ekspertise inden for databeskyttelsesret og -praksis. Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt, jf. forordningens art. 37, stk. 6. Ifølge forordningens art. 38 skal den dataansvarlige og databehandleren sikre, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål om beskyttelse af personoplysninger. Den dataansvarlige og databehandleren skal også sikre, at databeskyttelsesrådgiveren ikke modtager in- 26. Se Datatilsynet., Vejledning om databeskyttelsesrådgivere, september

16 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) strukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren. De registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til databeskyttelsesforordningen. Databeskyttelsesrådgiveren har i øvrigt ifølge forordningens art. 39 bl.a. til opgave at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser og at overvåge overholdelsen af forordningen og andre regler om databeskyttelse, ligesom databeskyttelsesrådgiveren skal fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling. f. Adfærdskodeks, sikkerhed, fortegnelser mv. Ifølge databeskyttelsesforordningens art. 40 skal medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynde til udarbejdelse af adfærdskodekser. Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af databeskyttelsesforordningen., bl.a. om rimelig og gennemsigtig behandling, indsamlingen af personoplysninger, pseudonymiseringen af personoplysninger, informationen til offentligheden og til registrerede samt udøvelsen af registreredes rettigheder samt anmeldelsen af brud på persondatasikkerheden til tilsynsmyndighederne og underretningen af de registrerede om brud på persondatasikkerheden. Udkast til kodeks forelægges for tilsynsmyndigheden med henblik på godkendelse. Databeskyttelsesforordningens art. 25 indeholder en bestemmelse om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Dette indebærer bl.a., at den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen skal gennemføre passende tekniske og organisatoriske foranstaltninger, såsom såkaldt pseudonymisering (defineret i art. 4, nr. 5), som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, eksempelvis dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder. Den dataansvarlige skal i øvrigt gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at 16

17 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Herunder skal det gennem standardindstillinger sikres, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer. Databeskyttelsesforordningens art. 32 indeholder bestemmelser om behandlingssikkerhed. Der er her ikke tale om helt faste krav, men derimod krav som er rettet mod foreliggende risici, hvilket hænger samen med, at man med forordningen er gået over til en risikobaseret tilgang til sikkerhed (jo større risiko, jo større sikkerhedsforanstaltninger). Det er således fastsat, at under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant pseudonymisering og kryptering af personoplysninger, evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester samt evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. Den dataansvarlige og databehandleren tager endvidere skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret. I forordningens art 30, stk. 1, er det fastsat, at hver dataansvarlig, og hvis det er relevant den dataansvarliges repræsentant, fører fortegnelser over behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte bl.a. følgende oplysninger: Navn på og kontaktoplysninger for den dataansvarlige og databeskyttelsesrådgiveren, formålene med behandlingen, en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger samt de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer. Noget tilsvarende gælder for hver databehandler.de pågældende fortegnelser skal foreligge skriftligt, herunder elektronisk, og stilles efter anmodning til rådighed for tilsynsmyndigheden. g. Tilsyn, klage, erstatning og straf mv. Datatilsynet, der består af et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af databeskyttelsesloven og databeskyttelsesforordningen mv., databeskyttelseslovens

18 Kapitel I. De forvaltningsretlige sagsbehandlingsregler (ændringer) Dog fører Domstolsstyrelsen tilsyn med behandling af oplysninger, der foretages for domstolene (når disse ikke handler i deres egenskab af domstol), jf. lovens 37. Databeskyttelsesforordningen indeholder bestemmelser om ret til at klage til en tilsynsmyndighed (art. 77) 27 og effektive retsmidler over for tilsynsmyndigheden (ved at anlægge sag ved domstolene), jf. forordningens art. 78 og databeskyttelseslovens 39, stk. 2. Det samme gælder over for en dataansvarlig og en databehandler, jf. forordningens art. 79 og databeskyttelseslovens 39, stk. 3. Der er i forordningen også bestemmelser om erstatning og strafansvar, jf. forordningens art. 82 og 83. Forordningen lægger op til et forholdsvis højt bødeniveau. Det fremgår af databeskyttelseslovens 41, stk. 6, at offentlige forvaltningsmyndigheder mv. kan straffes. Det gælder også selv om der er tale om overtrædelser, som begås ved udøvelse af virksomhed (afgørelsesvirksomhed mv.), der ikke svarer til eller kan sidestilles med virksomhed udøvet af private. Den maksimale bøde til en offentlig myndighed er 16 mio. kr. 28 Det skal nævnes, at enkelte offentlige registre er undergivet en særlig lovgivning. Det gælder således bl.a. Det Centrale Personregister. 29 s. 39, linje 15. persondatalovens erstattes af: databeskyttelsesforordningen og -lovens s. 42, linje reglerne i persondataloven (se afsnit 3 ovenfor), som implementerer Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger erstattes af: databeskyttelsesforordningen og -loven 27. Se også databeskyttelseslovens 39, stk Jf. lovforslag nr. L 68, fremsat 25. oktober 2017, alm. bemærkninger, pkt (s. 165). 29. Jf. lov om Det Centrale Personregister (lovbekendtgørelse nr. 646 af 2. juni 2017.). Det bemærkes, at denne lov også indeholder regler om kommunalbestyrelsens folkeregistrering. Uden for den nævnte lovs område reguleres anvendelse af CPR-numre af databeskyttelsesforordningens art. 87 og databeskyttelseslovens

19 KAPITEL II Kompetence (ændringer) Kapitel II. Kompetence (ændringer) (Ingen ændringer) 19

20

21 KAPITEL III Habilitet (ændringer) Kapitel III. Habilitet (ændringer) (Ingen ændringer) 21

22

23 KAPITEL IV Sagens rejsning (ændringer) Kapitel IV. Sagens rejsning (ændringer) s. 131, linje Følgende udgår: Anmeldelse efter persondatalovens 43 tjener beslægtede formål. Disse er nærmere beskrevet ovenfor i kap. I.D.3.c. databeskyttelsesforordningen og -lovens. s. 132: Note 28 udgår. 23

24

25 KAPITEL V Forvaltningsmyndighedens sagsforberedelse (ændringer) Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer) Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer) s. 145, linje 13 (midt i småtryk). persondatalovens erstattes af: databeskyttelsesforordningens og -lovens s. 149, linje udgår og erstattes af: Efter databeskyttelsesforordningens art. 5, stk. 1, litra c skal personoplysninger være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil e behandles (»dataminimering«). s. 154, linje 26. persondataloven erstattes af: databeskyttelsesforordningen og -loven s. 156, linje 14 s. 161, linje 19, udgår og erstattes af: c. Særligt om databeskyttelsesforordningen (og -loven). 1 Databeskyttelsesforordningen (og -loven) finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. forordningens art. 2, stk Hertil kommer, at databeskyttelseslovens 6-8, 10 og 11, stk. 1, samt databeskyttelsesforordningens art. 5, stk. 1, litra a-c, art. 6, art. 7, stk. 3, 1. og 2. pkt., art. 9, art. 10 og art. 77, stk. 1, også gælder for manuel videregivelse af personoplysninger 1. Se kap. I.D.3 med henvisninger. Bogens s. 27 ff. (nu erstattet af afsnit ovenfor i nærværende tillæg). 2. Se om databeskyttelsesforordningens (og -lovens) anvendelsesområde mv. i øvrigt kap. I.D.3.b med henvisninger. 25

26 Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer) til en anden forvaltningsmyndighed jf. databeskyttelseslovens 2, stk. 1 (og forvaltningslovens 28, stk. 1). Hvor databeskyttelsesforordningen og databeskyttelsesloven overlapper forvaltningsloven med herfra afvigende regler (hvad der kun forekommer i meget begrænset omfang, idet reglerne er koordineret bl.a. ved forvaltningslovens 28, stk. 1), 3 fortrænger databeskyttelsesforordningens og -lovens regler som udgangspunkt de almindelige regler i forvaltningsloven, idet forordningen som EU-retlig retsakt har forrang i forhold til dansk lov, og idet databeskyttelsesloven må betragtes som en specialregulering i forhold til forvaltningsloven. Regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger (f. eks. sundhedslovens kap. 9) går dog forud for reglerne i databeskyttelsesloven, jf. dennes 1, stk. 3. Forvaltningslovens 31 fortrænges ikke af databeskyttelsesforordningen og databeskyttelsesloven, idet de to sidstnævnte regelsæt ikke omfatter spørgsmålet om pligt til videregivelse af oplysninger, jf. om 31 nedenfor afsnit 2.a.1. Tilsvarende fortrænges forvaltningslovens 29 ikke af databeskyttelsesforordningen og databeskyttelsesloven, idet 29 kan anskues som en proportionalitetsforanstaltning. 4 I modsætning til forvaltningsloven som, jf. det ovenfor anførte, kun i mindre omfang regulerer spørgsmålet om indsamling af personoplysninger, der beror hos den pågældende forvaltningsmyndighed selv, indeholder databeskyttelsesforordningen og databeskyttelsesloven en række almindelige regler om behandling af oplysninger, som ikke alene omfatter ekstern udveksling af oplysninger mellem forskellige forvaltningsmyndigheder eller mellem forvaltningsmyndigheder og private, men også intern anvendelse af oplysninger, som forvaltningsmyndigheden allerede er i besiddelse af, f.eks. fra andre sager. I databeskyttelsesforordningens art. 5 er fastsat en række grundlæggende principper med hensyn til indsamling, ajourføring og opbevaring mv. af oplysninger. Efter stk. 1, litra a, skal personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde. Med hensyn til parter i afgørelsessager er der ikke meget nyt heri, ud over hvad der allerede følger af god forvaltnings- 3. Muligvis overlapper databeskyttelsesforordningen i et vist omfang forvaltningslovens Se betænkning 1565/2017, der henviser til databeskyttelsesforordningens art. 6, stk. 2. Dog kan der muligvis med hjemmel i databeskyttelseslovens 5, stk. 3, ved bekendtgørelse fastsættes regler, der kan indebære en fravigelse af forvaltningslovens

27 Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer) skik, reglerne om partshøring, partsaktindsigt og egenaccess. I øvrigt indeholder forordningen i kap. III i vidt omfang udtrykkelige regler om registreredes rettigheder, som sikrer, at kravet om lovlighed, rimelighed og gennemsigtighed følges. 5 Det bemærkes dog, at databeskyttelsesforordningens (og -lovens) regler også omfatter faktisk forvaltningsvirksomhed og ikke specielt tager sigte på borgere, der er parter i en sag (se kap. I ovenfor). Heller ikke art 5, stk. 1, litra b, hvorefter indsamling af oplysninger skal ske til udtrykkeligt angivne og legitime formål, og om at senere behandling (bortset fra arkivformål, statistiske eller videnskabelige eller historiske forskningsformål) ikke må være uforenelig med disse formål, indeholder meget, som ikke allerede følger af, hvad der i forvejen er gældende ret. 6 I bestemmelsen om udtrykkeligt angivne saglige formål ligger dog, at man ikke blot må indsamle oplysninger til eventuel senere brug. Dette princip kan ikke i almindelighed være til hinder for, at en myndighed anvender oplysninger, som den i en anden sag har indsamlet til et andet formål. 7 Kravet om udtrykkelighed indebærer, at myndigheden i forbindelse med indsamlingen skal angive et formål, som er tilstrækkeligt veldefineret og velafgrænset til at skabe åbenhed og klarhed omkring behandlingen, dvs. formålet skal defineres med en vis præcision. 8 En vag beskrivelse som f.eks.»til administrative formål«er således ikke tilstrækkelig, hvorimod»til brug ved udbetaling af sociale ydelser«er tilstrækkelig præcis. At senere behandling ikke må være uforenelig med de formål, hvortil oplysningerne er indsamlet, hindrer naturligvis en fri adgang til genbrug af oplysningerne, men bestemmelsen er ikke til hinder for, at en forvaltningsmyndighed i overensstemmelse med f.eks. art. 6, stk. 1, litra e, eller art. 9, stk. 1, litra f, får videregivet oplysninger fra en anden del af forvaltningen eller en anden forvaltningsmyndighed, blot lovens regler i øvrigt følges (herunder reglerne om oplysningspligt i art ). 9 En social myndighed vil således efter omstændighederne kunne udlevere oplysninger 5. Disse regler behandles i bogens kap. VI og VII. 6. Bestemmelsen kan sammenholdes med forvaltningslovens 32, hvorefter den, der virker inden for den offentlige forvaltning, ikke må skaffe sig fortrolige oplysninger, som ikke er af betydning for udførelsen af den pågældendes opgaver, jf. ovenfor afsnit a. 7. Aktualitetskravet er hæftet op på indsamlingen (udtrykkeligt angivne og legitime formål) og finalité på den senere behandling (formålsbestemthedsprincippet). 8. Se Niels Fenger, Forvaltningsloven med kommentarer, 2013, s , med henvisninger, om finalitéprincippet. 9. Se i øvrigt databeskyttelseslovens 5, stk

28 Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer) om en persons modtagelse af sociale ydelser til politiet (se nedenfor afsnit 2.a.3). 10 Bestemmelsen i databeskyttelsesforordningens art. 5, stk. 1, litra c, hvorefter oplysninger skal være tilstrækkelige og relevante og begrænset til, hvad der nødvendigt i forhold til de formål, hvortil de behandles, er ligeledes i overensstemmelse med almindelige principper (herunder proportionalitetsprincippet), og den harmonerer med forvaltningslovens 32, jf. om denne ovenfor afsnit a. Endelig indeholder art. 5, stk. 1, litra d, e og f, nogle almindelige regler om ajourføring (rigtighed), opbevaringsbegrænsning og integritet og fortrolighed. 11 Reglerne om de nærmere materielle betingelser for behandling af personoplysninger findes i de følgende bestemmelser i databeskyttelsesforordningen, navnlig i art. 6 og 9. Som ovenfor nævnt omfatter begrebet behandling af personoplysninger ikke alene ekstern udveksling af oplysninger, 12 men også intern anvendelse af oplysninger, som man allerede er i besiddelse af. 13 Art. 6 indeholder de almindelige betingelser for lovlig behandling af personoplysninger, hvorimod art. 9 indeholder de mere restriktive regler, som omfatter behandling af særlige kategorier af (følsomme) oplysninger. Databeskyttelseslovens 8 indeholder (med baggrund i forordningens art. 10) en tilføjelse vedrørende oplysninger om strafbare forhold. De almindelige regler i art. 6 er omfattende i den forstand, at betingelserne i bestemmelsen vedrører alle former for personoplysninger, jf. art. 4, nr. 1, uanset om der er tale om fortrolige eller ikke-fortrolige oplysninger. Betingelserne er dog ikke særligt restriktive. Oplysninger kan naturligvis behandles i henhold til udtrykkeligt samtykke, jf. art 6, stk. 1, litra a (regler om samtykke findes i art. 7, se også art. 4, nr. 11). Det er dog ikke nødvendigt at indhente samtykke, hvis der er hjemmel i en af de øvrige bestemmelser. Også hvis et gyldigt samtykke er tilbagekaldt, jf. art. 7, stk. 3, kan de øvrige bestemmelser anvendes, og tilbagekaldelse af et samtykke vil derfor ikke altid afskære myndigheden fra at fortsætte behandlingen. 10. Bogens s.168 ff. (nu erstattet af afsnit nedenfor i nærværende tillæg). 11. Se om forholdet til arkivloven nedenfor kap. VII.B Jf. herom i tilknytning til forvaltningslovens videregivelsesregler nedenfor afsnit 2.a.3 (bogens s.168 ff., nu erstattet af afsnit nedenfor i nærværende tillæg). 13. Efter databeskyttelsesforordningens art. 4, nr. 2, omfatter begrebet behandling enhver aktivitet eller række af aktiviteter med eller uden brug af elektronisk databehandling som personoplysninger eller en samling af personoplysninger gøres til genstand for. 28

29 Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer) I relation til udstedelse af forvaltningsakter er den vigtigste bestemmelse art 6, stk. 1, litra e, om tilfælde, hvor behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Begrebet»offentlig myndighedsudøvelse«omfatter desuden efter omstændighederne faktisk forvaltningsvirksomhed. Den nærmere begrebsafgrænsning er dog ikke helt klar, men formentlig er i hvert fald lovpligtige opgaver, f.eks. rådgivningspligten efter lov om social service, og måske i det hele lovhjemlede opgaver omfattede af begrebet. Bestemmelsen i litra e suppleres i øvrigt i begrænset omfang af litra c om, at behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. Udtrykket»nødvendig«, som indgår i samtlige bestemmelser i art. 6, stk. 1 (bortset fra samtykkebestemmelsen), 14 rummer et vist skøn inden for rammerne af saglig forvaltning. Det er bl.a. af betydning, hvilken form for behandling der er tale om (indsamling, registrering, videregivelse, samkøring mv.), 15 og hvilken type oplysninger der er tale om. Alt andet lige skal der mindre til for, at en intern anvendelse er lovlig, end tilfældet er for videregivelse og samkøring. Vedrørende oplysningstypen bemærkes, at særligt opregnede følsomme oplysninger er omfattet af art. 9, og oplysninger om strafbare forhold er (som allerede nævnt) omfattet af databeskyttelseslovens 8 (med baggrund i forordningens art. 10). 16 Derimod er oplysninger om en persons væsentlige sociale problemer ikke omfattet af art. 9, men alene af art. 6, og her må der normalt anlægges en særlig streng og restriktiv nødvendighedsvurdering i forbindelse med f. eks. ekstern videregivelse af sådanne oplysninger. 17 Art. 9 vedrører som nævnt en række særligt følsomme oplysninger, der er opregnet i stk. 1, omfattende oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger 14. Se dog databeskyttelsesforordningens art. 7, stk. 4 (hvor ordet»nødvendig«indgår i en lidt anden sammenhæng). 15. Jo mere indgribende en behandlingsform der er tale om, desto større krav stilles der til nødvendigheden, f.eks. stilles større krav til videregivelse eller samkøring end til indsamling og registrering til eget brug. 16. Se om ekstern udveksling af personoplysninger endvidere afsnit 2.a.3 (bogens s.168 ff., nu erstattet af afsnit nedenfor i nærværende tillæg). 17. Det gælder som det allerede fremgår i almindelighed, at både oplysningens karakter og behandlingens karakter påvirker nødvendighedskravet i skærpende eller lempende retning. 29

30 Kapitel V. Forvaltningsmyndighedens sagsforberedelse (ændringer) om en fysisk persons seksuelle forhold eller seksuelle orientering. Denne afgrænsning af særligt følsomme oplysninger er udtømmende (se dog nedenfor om databeskyttelseslovens 8), og efter stk. 1 er behandling af disse oplysninger som udgangspunkt forbudt. Ligesom art. 6 omfatter art. 9, som tidligere omtalt, ikke alene videregivelse af oplysninger til en anden myndighed eller til private, men tillige intern behandling af personoplysninger. Art. 9, stk. 2 og 3, indeholder imidlertid en række undtagelser fra forbuddet i stk. 1. Ud over bestemmelsen i stk. 2, litra a, om registreredes udtrykkelige samtykke 18 er den mest relevante af de generelt formulerede undtagelser for så vidt angår udstedelse af forvaltningsakter og anden myndighedsudøvelse bestemmelsen i stk. 2, litra f, om tilfælde, hvor behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Bestemmelsen vil generelt kunne finde anvendelse, når behandling er nødvendig for, at der kan træffes en forvaltningsafgørelse. Behandlingen kan være både i den dataansvarliges, den registreredes og tredjemands interesse, og bestemmelsen omfatter dermed bl.a. den situation, at behandlingen er nødvendig for at afgøre, om den registrerede har et retskrav. Dette vil bl.a. være tilfældet som led i offentlig myndighedsudøvelse. Som eksempel på behandling af oplysninger for at afgøre, om den dataansvarlige kan gøre krav gældende over for den registrerede, kan nævnes skattemyndighedernes behandling af oplysninger om medlemskab af folkekirken, der registreres i CPR med henblik på opkrævning af kirkeskatter. 19 Tilsvarende gælder behandling af oplysninger om fagforeningsmæssigt tilhørsforhold for at fastlægge og kontrollere skattefradrag for fagforeningskontingent. Som et supplement til forordningens art. 9 er der i databeskyttelseslovens 8 (med baggrund i forordningens art. 10) bestemmelser om behandling af oplysninger om strafbare forhold. 20 For den offentlige forvaltning må der ifølge lovens 8, stk. 1, ikke behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Om 8, stk. 2, som for den offentlige forvaltnings vedkommende primært vedrø- 18. I U H kunne et ikke nærmere specificeret samtykke til at indhente referenceoplysninger hos en tidligere arbejdsgiver som udgangspunkt ikke antages at omfatte følsomme personoplysninger omfattet af persondatalovens 7, stk Se også et eksempel i betænkning 1565/2017, s. 216, om kommuners anvendelse af fingeraftryk ved registrering af aktiverede borgeres fremmøde. 20. Den særlige regulering i persondatalovens 8 vedrørende væsentlige sociale problemer mv. er ikke medtaget i databeskyttelsesforordningen eller databeskyttelsesloven. Behandling af personoplysninger herom må derfor ske efter art