Databeskyttelsesforordningen Betænkning nr. 1565 Del II
Betænkning om Databeskyttelsesforordningen (2016/679) Del II Betænkning nr. 1565
Indholdsfortegnelse Del II: Bilag med vurderinger af særlovgivning på de enkelte ministerområder 1. Udenrigsministeriet... 3 2. Justitsministeriet... 4 3. Finansministeriet... 10 4. Forsvarsministeriet... 15 5. Erhvervsministeriet...21 6. Økonomi- og Indenrigsministeriet...35 7. Beskæftigelsesministeriet... 40 8. Udlændinge- og Integrationsministeriet...47 9. Uddannelses- og Forskningsministeriet...52 10. Energi-, Forsynings- og Klimaministeriet...55 11. Sundheds- og Ældreministeriet...61 12. Skatteministeriet... 66 13. Miljø- og Fødevareministeriet...74 14. Børne- og Socialministeriet...80 15. Undervisningsministeriet... 83 16. Kulturministeriet...89 17. Kirkeministeriet... 94 18. Transport-, Bygnings- og Boligministeriet...98 2
3
4
5
6
7
8
9
Notat 23. maj 2017 Overblik over lovgivning på Finansministeriets område, som berøres af databeskyttelsesforordningen Finansministeriet har gennemgået lovgivningen på ministeriets områder med he n- blik på at identificere bestemmelser, der regulerer behandling af personoplysni n- ger, andre nationale bestemmelser på databeskyttelsesforordningens område eller som henviser til lov om behandling af personoplysninger. Finansminis teriet har endvidere vurderet, om de pågældende bestemmelser kan opretholdes, når databeskyttelsesforordningen finder anvendelse fra 25. maj 2018. Samlet set ha r Finansministeriet identificeret 1 4 love på ministeriets samt Folketingets område, der regulerer persondataretlig behandling af oplysninger. Det vu r- deres, at alle relevante bestemmelser, der regulerer behandlingen, vil kunne opre t- holdes efter forordningens ikrafttræden, idet der dog vil være behov for at kons e- kvensrette bestemmelser, der henviser til den gældende lov om behandling af pe r- sonoplysninger. Nedenfor gennemgås den relevante lovgivning. Vedr. Moderniseringsstyrelsen Samlet har Moderniseringsstyrelsen identificeret ni love på styrelsens område, der regulerer persondataretlig behandling af op lysninger, jf. bilagets tabel 1. Moderniseringsstyrelsen lovgivning vedrører særligt tjenestemandsansættelse og tjenest e- mandspension samt vederlag og pension for ministre. Den persondataretlige behandling, der er reguleret inden for Moderniseringsst y- relsens ressort, består i overvejende grad af indhentelse, opbevaring og videreg i- velse af oplysninger. Indhentning af oplysninger er typisk formuleret som b e- stemmelser, hvorefter en myndighed skal indhente helbredsoplysninger til brug for udbetaling af pen sion til tjenestemanden. Dette er f.eks. tilfældet i lov om tj e- nestemænd 31, stk. 2. Opbevaring af oplysninger er typisk formuleret som bestemmelser, hvorefter en myndighed opbevarer en liste over ansøgere til tjenestemandsstillinger. Dette er f.eks. tilfældet i lov om tjenestemænd 5, stk. 3. Videregivelse af oplysninger er typisk formuleret som bestemmelser, hvorefter en myndighed skal videregive en liste over ansøgere til tjenestemandsstillinger til a n- søgere og organisationer, hvis medlemmer er naturl ige ansøgere til stillingen. Dette er f.eks. tilfældet i lov om tjenestemænd 5, stk. 5. Det er vurderingen, at de gældende regler på Moderniseringsstyrelsens område kan opretholdes efter forordningens ikrafttræden. 10
Side 2 af 3 Ved vurderingen er der lagt vægt på, at behandlingerne hovedsageligt falder i to kategorier. For så vidt angår opbevaring og videregivelse af oplysninger, er der tale om behandling af ikke -følsomme oplysninger om navn i forbindelse med ansæ t- telsessager. Behandlingen vurderes at være omfattet af forordningens artikel 6, stk. 1, litra c og/eller e. For så vidt angår indhentelse af oplysninger, er der tale om behandling af følsomme oplysninger om helbredsoplysninger i forbindelse med tildeling af pension til den registrerede. Behandlingen vurderes at være omfattet af forordningens artikel 9, stk. 2, litra f og/eller g. Vedr. Digitaliseringsstyrelsen Samlet har Digitaliseringsstyrelsen identificeret tre love inden for Digitalisering s- styrelsens område, som regulerer henholdsvis behandling af personopl ysninger, andre nationale bestemmelser på databeskyttelsesforordningens område, eller som henviser til lov om behandling af personoplysninger, jf. bilagets tabel 2. Digitaliseringsstyrelsens lovgivning retter sig mod fysiske og juridiske perso ner samt offentlige myndigheder. Den persondataretlige behandling, der er reguleret inden for styrelsens område, består af indsamling af oplysninger i forbindelse med varetagelsen af Nemkonto-løsningen i medfør af lov om offentlige betalinger mv. ( 4, stk. 2) og i fo rhold til varetagelse af Digital Post -løsningen i medfør af lov om Digital Post fra offentlige afsendere ( 2, stk. 2). Derudover er der bestemmelser om videregivelse af oplysninger i lov om videreanvendelse af den offentlige sektors informationer (PSI-loven) ( 4, stk. 1) og i forbindelse med varetagelse af Nemkonto-løsningen i medfør af lov om offentlige betalinger mv. ( 4a, stk. 1). For så vidt angår andre nationale bestemmelser på databeskyttelsesforordningens område, er der på Digitaliseringsstyrelse ns område bestemmelser, som vedrører hjemmel til regulering af databehandlere udpeget af finansministeren i forbindelse med varetagelse af systemansvaret (varetagelse af kontooplysningerne) i forhold til Nemkonto-løsningen i lov om offentlige betalinger mv. ( 5) og i forbindelse med varetagelse af systemansvaret i forhold til Digital Post -løsningen i lov om Digital Post fra offentlige afsendere ( 2, stk. 2). Endvidere er der i lov om offentlige betalinger mv. ( 5, stk. 2) hjemmel til at fastætte regler om klageadgang. Endelig er der en henvisning til lov om behandling af personoplysninger i lov om Digital Post fra offentlige afsendere ( 2, stk. 3). Henvisningen indebærer en begrænsning af indsigelsesretten. Det er vurdering en, at de nævnte bestemmelser k an opretholdes efter forordni n- gens ikrafttræden. Der vil dog være behov for at konsekvensrette bestemmelsen i lov om Digital Post fra offentlige afsendere, der henviser til den gældende lov om behandling af personoplysninger. Ved vurderingen er der lagt vægt på, at behandlingen har hjemmel i forordningens artikel 6 (om overholdelse af en retlig forpli g- telse (artikel 6, stk. 1, litra c) og/eller af hensyn til udførelse af en opgave i sa m- fundets interesse eller som henhører under offentlig myndighedsudøvels e (artikel 11
Side 3 af 3 6, stk. 1, litra e)), nationale regler fastsat i medfør af artikel 87 (om behandling af nationalt identifikationsnummer) eller artikel 23 (om begrænsning af indsigelse s- retten). Vedr. departementet Finansministeriets departement s lovgivning vedrø rer primært bevillingslove og regulerer fortrinsvis offentlige indtægter og udgifter og i mindre grad borgernes retsstilling. Departementet kan dog oplyse, at der er identificeret to love på Folketingets ressortområde, der kan regulere behandlingen af personoplysninger, jf. bilagets tabel 3. Det drejer sig om Rigsrevisorlovens 12, stk. 1, hvorefter Rigsrevisor af enhver offentlig myndighed kan forlange sig meddelt alle sådanne oplysninger og forelagt alle sådanne aktstykker, som efter rigsrevisors skøn er af betydning for udførelsen af rigsrevisors hverv samt Statsrevisorlovens 4, stk. 3, hvorefter e nhver, som virker i offentlig tjene ste, har pligt til at meddele statsrevi sorerne de oplysninger og aktstykker, som de anser fornødne for udøvelsen af deres hverv. Der er således potentielt tale om behandling af personoplysninger. Det er vurderingen, at de nævnte bestemmelse r kan opretholdes efter forordningen ikrafttræden. Ved vurderingen er der lagt vægt på, at behandlingen vurderes at være nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudø velse, jf. artikel 6, stk. 1, litra e, og artikel 9, stk. 2, litra g. 12
Bilag 23. maj 2017 Bilag om Finansministeriets lovgivning I tabel 1 findes en oversigt over Finansministeriets lovgivning, som Moderniseringsstyrelsen er ansvarlig for, der regulerer behandling af personoplysninger, samt hjemlen hertil. Tabel 1 Oversigt over bestemmelser om behandling af personoplysninger Bestemmelser Behandling Hjemmel Lov om tjenestemænd 5, 8 og 31 Indsamling af oplysninger Opbevaring af oplysninger Videregivelse af oplysninger Art. 6, stk. 1, litra c og/eller e Art. 9, stk. 2, litra f og/eller g Lov om tjenestemandspension 31 og 32 Lov om statens tjenestemænd i Grønland 5, 8 og 31 Lov om pension til statens tjenestemænd m.v. i Grønland 32 og 33 Lov om vederlag og pension m.v. for ministre, 4 Lov om pensionering af civilt personel i forsvaret, 4 Lov om pensionering af flyveledere, 2 a Lov om pensioner efter tidligere tjenestemandslove mv., 8 a Lov om tjenestemænd i folkeskolen mv., 6 Indsamling af oplysninger Videregivelse af oplysninger Indsamling af oplysninger Opbevaring af oplysninger Videregivelse af oplysninger Indsamling af oplysninger Indsamling af oplysninger Indsamling af oplysninger Indsamling af oplysninger Indsamling af oplysninger Indsamling af oplysninger Art. 9, stk. 2, litra f og/eller g Art. 6, stk. 1, litra c og/eller e Art. 9, stk. 2, litra f og/eller g Art. 9, stk. 2, litra f og/eller g Art. 9, stk. 2, litra f og/eller g Art. 9, stk. 2, litra f og/eller g Art. 9, stk. 2, litra f og/eller g Art. 9, stk. 2, litra f og/eller g Art. 9, stk. 2, litra f og/eller g I tabel 2 findes en oversigt over Finansministeriets lovgivning, som Digitaliseringsstyrelsen er ansvarlig for, der regulerer behandling af personoplysninger, samt hjemlen hertil. 13
Side 2 af 2 Tabel 2 Oversigt over bestemmelser om behandling af personoplysninger Lov Behandling Hjemmel Lov om offentlige betalinger mv. Indsamling af oplysninger Videregivelse af oplysninger Hjemmel til at fastsætte regler om databehandlere Hjemmel til at fastsætte regler om klageadgang Artikel 6, stk. 1, litra c og/eller e Lov om Digital Post fra offentlige afsendere Lov om videreanvendelse af den offentlige sektors informationer (PSIloven) Hjemmel til at fastsætte regler om databehandlere Hjemmel til at databehandler kan indsamle oplysninger om personnummer Begrænsning af indsigelsesretten Henvisning til lov om behandling af personoplysninger Videregivelse af oplysninger Artikel 6, stk. 1, litra c og/eller e Nationale regler fastsat i medfør af artikel 87 Artikel 23 Artikel 6, stk. 1, litra c og/eller e I tabel 3 findes en oversigt over lovgivning på Folketingets ressortområde, der regulerer behandling af personoplysninger, samt hjemlen hertil. Tabel 3 Oversigt over bestemmelser om behandling af personoplysninger Lov Behandling Hjemmel Rigsrevisorloven 12, stk. 1 Rigsrevisor kan af enhver offentlig myndighed forlange sig meddelt alle sådanne oplysninger og forelagt alle sådanne aktstykker, som efter rigsrevisors skøn er af betydning for udførelsen af rigsrevisors hverv. Rigsrevisor kan fastsætte en frist herfor." Art. 6, stk. 1, litra e og art. 9, stk. 2, litra g Statsrevisorloven 4, stk. 3 Enhver, som virker i offentlig tjeneste, har pligt til at meddele statsrevisorerne de oplysninger og aktstykker, som de anser fornødne for udøvelsen af deres hverv. Art. 6, stk. 1, litra e og art. 9, stk. 2, litra g 14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104