Databeskyttelsesloven

Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)

VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:

Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:

Afsnit I

Indledende bestemmelser

Kapitel 1

Lovens materielle anvendelsesområde

§ 1. Loven supplerer og gennemfører Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), jf. bilag 1 til denne lov.

Stk. 2. Loven og databeskyttelsesforordningen gælder for al behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Loven og databeskyttelsesforordningen gælder dog ikke i de tilfælde, der er nævnt i databeskyttelsesforordningens artikel 2, stk. 2, litra b-d, og lovens § 3.

Stk. 3. Regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i denne lov.

§ 2. Lovens §§ 6-8 og 10 og § 11, stk. 1, og databeskyttelsesforordningens artikel 5, stk. 1, litra a-c, artikel 6, artikel 7, stk. 3, 1. og 2. pkt., artikel 9 og 10 og artikel 77, stk. 1, gælder også for manuel videregivelse af personoplysninger til en anden forvaltningsmyndighed. Datatilsynet fører i overensstemmelse med lovens kapitel 10 tilsyn med videregivelse som nævnt i 1. pkt.

Stk. 2. Loven og databeskyttelsesforordningen gælder endvidere for behandling af oplysninger om virksomheder m.v., hvis denne behandling udføres for kreditoplysningsbureauer. Tilsvarende gælder, for så vidt angår behandlinger, som er omfattet af § 26, stk. 1, nr. 1.

Stk. 3. Kapitel 4 gælder også for behandling af oplysninger om virksomheder m.v., jf. § 1, stk. 1.

Stk. 4. Loven og databeskyttelsesforordningen gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning.

Stk. 5. Loven og databeskyttelsesforordningen finder anvendelse på oplysninger om afdøde personer i 10 år efter vedkommendes død.

Stk. 6. Justitsministeren kan efter forhandling med vedkommende minister fastsætte regler om, at loven og databeskyttelsesforordningen helt eller delvis skal finde anvendelse på oplysninger om afdøde personer i en længere eller kortere periode end angivet i stk. 5.

Stk. 7. Uden for de tilfælde, der er nævnt i stk. 2, kan justitsministeren fastsætte regler om, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for private.

Stk. 8. Uden for de tilfælde, der er nævnt i stk. 3, kan vedkommende minister fastsætte regler om, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for den offentlige forvaltning.

§ 3. Loven og databeskyttelsesforordningen finder ikke anvendelse, hvis det vil være i strid med artikel 10 i Den Europæiske Menneskerettighedskonvention eller artikel 11 i Den Europæiske Unions Charter om Grundlæggende Rettigheder.

Stk. 2. Loven og databeskyttelsesforordningen finder ikke anvendelse på den behandling af personoplysninger, som udføres for eller af politiets og forsvarets efterretningstjenester.

Stk. 3. Loven og databeskyttelsesforordningen finder ikke anvendelse på behandling af oplysninger, der foretages som led i Folketingets parlamentariske arbejde.

Stk. 4. Loven og databeskyttelsesforordningen finder ikke anvendelse på behandlinger, der er omfattet af lov om massemediers informationsdatabaser.

Stk. 5. Loven og databeskyttelsesforordningens kapitel II-VII og kapitel IX finder ikke anvendelse på informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvarslovens § 1, nr. 1 eller 2, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i databeskyttelsesforordningens artikel 28 og 32.

Stk. 6. Loven og databeskyttelsesforordningens kapitel II-VII og kapitel IX gælder ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte tekster, billeder og lydprogrammer, der omfattes af medieansvarslovens § 1, nr. 3, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i databeskyttelsesforordningens artikel 28 og 32.

Stk. 7. Loven og databeskyttelsesforordningens kapitel II-VII og kapitel IX finder ikke anvendelse på manuelle arkiver over udklip fra offentliggjorte trykte artikler, som udelukkende behandles i journalistisk øjemed. Dog gælder bestemmelserne i databeskyttelsesforordningens artikel 28 og 32.

Stk. 8. Loven og databeskyttelsesforordningens kapitel II-VII og kapitel IX finder ikke anvendelse ved behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed. Dog gælder bestemmelserne i databeskyttelsesforordningens artikel 28 og 32. 1. og 2. pkt. gælder tilsvarende for behandling af oplysninger, som udelukkende sker med henblik på kunstnerisk eller litterær virksomhed.

Stk. 9. Justitsministeren kan efter forhandling med vedkommende minister fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte it-systemer, og som føres for den offentlige forvaltning, helt eller delvis alene må opbevares her i landet.

Stk. 10. Forsvarsministeren kan fastsætte regler om, at loven og databeskyttelsesforordningen helt eller delvis ikke finder anvendelse på forsvarets behandling af personoplysninger i forbindelse med forsvarets internationale operative virke.

Kapitel 2

Lovens geografiske anvendelsesområde

§ 4. Loven og regler udstedt i medfør af loven gælder for behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Danmark, uanset om behandlingen finder sted i EU.

Stk. 2. Loven og regler udstedt i medfør af loven gælder endvidere for den behandling, som udføres for danske diplomatiske repræsentationer.

Stk. 3. Loven og regler udstedt i medfør af loven gælder for behandling af personoplysninger om registrerede, der befinder sig i Danmark, som foretages af en dataansvarlig eller databehandler, der ikke er etableret i EU, hvis behandlingsaktiviteterne vedrører

1) udbud af varer eller tjenester til sådanne registrerede, der befinder sig i Danmark, uanset om betaling fra den registrerede er påkrævet, eller

2) overvågning af sådanne registreredes adfærd, for så vidt deres adfærd finder sted i Danmark.

Afsnit II

Behandlingsregler

Kapitel 3

Behandling af oplysninger

§ 5. Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.

Stk. 2. For at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, jf. stk. 1, tager den dataansvarlige efter databeskyttelsesforordningens artikel 6, stk. 4, bl.a. hensyn til

1) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling,

2) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige,

3) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10,

4) den påtænkte viderebehandlings mulige konsekvenser for de registrerede og

5) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.

Stk. 3. Uanset stk. 1 og 2 kan vedkommende minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed. 1. pkt. finder ikke anvendelse på behandling af oplysninger i medfør af § 10. For så vidt angår helbredsoplysninger og genetiske data nævnt i databeskyttelsesforordningens artikel 9, stk. 1, som er indsamlet i medfør af denne lovs § 7, stk. 3, eller i medfør af sundhedslovgivningen, finder 1. pkt. alene anvendelse, i det omfang formålet med den videre anvendelse af disse oplysninger er foreneligt med det formål, som disse personoplysninger oprindelig blev indsamlet til.

§ 6. Behandling af personoplysninger må finde sted, hvis mindst en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f, er opfyldt.

Stk. 2. Finder databeskyttelsesforordningens artikel 6, stk. 1, litra a, anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år.

Stk. 3. Er barnet under 13 år, er behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

§ 7. Forbuddet mod behandling af følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, gælder ikke i tilfælde, hvor betingelserne for behandling af personoplysninger i databeskyttelsesforordningens artikel 9, stk. 2, litra a, c, d, e eller f, er opfyldt.

Stk. 2. Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser og specifikke rettigheder, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra b.

Stk. 3. Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra h.

Stk. 4. Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig af hensyn til væsentlige samfundsinteresser, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra g. Tilsynsmyndigheden giver tilladelse hertil, hvis behandlingen efter 1. pkt. ikke foretages for en offentlig myndighed. Der kan i en tilladelse efter 2. pkt. fastsættes nærmere vilkår for behandlingen.

Stk. 5. Uden for de i stk. 1-4 nævnte tilfælde kan vedkommende minister efter forhandling med justitsministeren og inden for databeskyttelsesforordningens rammer fastsætte nærmere regler om behandling af personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1.

§ 8. For den offentlige forvaltning må der ikke behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver.

Stk. 2. De oplysninger, der er nævnt i stk. 1, må ikke videregives. Videregivelse kan dog ske, hvis

1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen,

2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,

3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller

4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Stk. 3. Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.

Stk. 4. De oplysninger, der er nævnt i stk. 3, må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Stk. 5. Behandling af oplysninger i de tilfælde, der er reguleret i stk. 1-4, kan i øvrigt finde sted, hvis betingelserne i § 7 er opfyldt.

§ 9. Oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 må behandles, hvis dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne.

Stk. 2. Oplysninger omfattet af stk. 1 må ikke senere behandles i andet øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages med henblik på at føre retsinformationssystemer efter forordningens artikel 6.

Stk. 3. Tilsynsmyndigheden kan meddele nærmere vilkår for de behandlinger, der er nævnt i stk. 1. Tilsvarende gælder for de oplysninger, der er nævnt i forordningens artikel 6, og som alene behandles i forbindelse med førelsen af retsinformationssystemer.

§ 10. Oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.

Stk. 2. De oplysninger, der er omfattet af stk. 1, må ikke senere behandles i andet end videnskabeligt eller statistisk øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed efter databeskyttelsesforordningens artikel 6.

Stk. 3. Videregivelse af oplysninger omfattet af stk. 1 og 2 til tredjemand kræver forudgående tilladelse fra tilsynsmyndigheden, når videregivelsen

1) sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde, jf. databeskyttelsesforordningens artikel 3,

2) vedrører biologisk materiale eller

3) sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign.

Stk. 4. Tilsynsmyndigheden kan fastsætte generelle vilkår for videregivelse af oplysninger omfattet af stk. 1 og 2, herunder for videregivelse, der ikke kræver tilladelse efter stk. 3. Tilsynsmyndigheden kan endvidere fastsætte nærmere vilkår for videregivelse af oplysninger efter stk. 3.

Stk. 5. Sundhedsministeren kan efter forhandling med justitsministeren uanset stk. 2 fastsætte regler om, at oplysninger omfattet af stk. 1 og 2, som er behandlet med henblik på at udføre sundhedsfaglige statistiske og videnskabelige undersøgelser, senere kan behandles i andet end statistisk eller videnskabeligt øjemed, hvis behandlingen er nødvendig af hensyn til varetagelse af den registreredes vitale interesser.

§ 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lovgivningen,

2) den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller

4) betingelserne i § 7 er opfyldt.

Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må personnummer ikke offentliggøres, medmindre der er givet samtykke i overensstemmelse med databeskyttelsesforordningens artikel 7.

§ 12. Behandling af personoplysninger i forbindelse med ansættelsesforhold omfattet af artikel 6, stk. 1, og artikel 9, stk. 1, i databeskyttelsesforordningen kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder som fastlagt i anden lovgivning eller kollektive overenskomster.

Stk. 2. Behandling af oplysninger som nævnt i stk. 1 må også finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, som udspringer af anden lovgivning eller kollektive overenskomster, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor.

Stk. 3. Behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den registreredes samtykke i overensstemmelse med artikel 7 i databeskyttelsesforordningen.

§ 13. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 10.

Stk. 2. Videregivelse og anvendelse som nævnt i stk. 1 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra f, er opfyldt.

Stk. 3. Der kan efter stk. 2 ikke videregives eller anvendes oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller denne lovs § 8.

Stk. 4. Inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på direkte markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.

Stk. 5. Dataansvarlige, der med henblik på direkte markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle

1) oplysninger om navn, adresse, stilling, erhverv, e-mailadresse, telefon- og telefaxnummer,

2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, og

3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil.

Stk. 6. Et samtykke efter stk. 5 skal indhentes i overensstemmelse med markedsføringslovens § 10.

Stk. 7. Behandling af oplysninger som nævnt i stk. 5 må ikke omfatte oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller denne lovs § 8.

Stk. 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 2.

Stk. 9. Justitsministeren kan fastsætte yderligere begrænsninger end de i stk. 7 nævnte i adgangen til at behandle bestemte typer af oplysninger.

§ 14. Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Kapitel 4

Videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige

§ 15. Oplysninger om gæld til det offentlige kan efter bestemmelserne i dette kapitel videregives til kreditoplysningsbureauer.

Stk. 2. Oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller artikel 10 må ikke videregives til kreditoplysningsbureauer.

Stk. 3. Fortrolige oplysninger, som videregives efter reglerne i dette kapitel, anses ikke som følge af videregivelsen som offentligt tilgængelige.

§ 16. Oplysninger om gæld til det offentlige kan videregives til et kreditoplysningsbureau, hvis

1) det følger af lov eller bestemmelser fastsat i henhold til lov eller

2) den samlede gæld er forfalden og overstiger 7.500 kr., idet der dog ikke heri må indgå gældsposter, der er omfattet af en overholdt aftale om henstand eller afdragsvis betaling, jf. dog stk. 2 og 3.

Stk. 2. Det er en betingelse for videregivelse efter stk. 1, nr. 2, at den samlede gæld administreres af samme inddrivelsesmyndighed.

Stk. 3. Det er endvidere en betingelse for videregivelse efter stk. 1, nr. 2, at

1) gælden kan inddrives ved udpantning og der er fremsendt to rykkere til skyldneren,

2) der er foretaget eller forsøgt foretaget udlæg for kravet,

3) kravet er fastslået ved endelig dom eller

4) det offentlige har erhvervet skyldnerens skriftlige erkendelse af den forfaldne gæld.

§ 17. Myndigheden skal give skyldneren skriftlig meddelelse, forinden videregivelse finder sted. Videregivelse må tidligst ske, 4 uger efter at denne meddelelse er givet.

Stk. 2. Den meddelelse, der er nævnt i stk. 1, skal indeholde oplysninger om,

1) hvilke oplysninger der vil blive videregivet,

2) til hvilket kreditoplysningsbureau videregivelsen vil ske,

3) hvornår videregivelse vil finde sted, og

4) at videregivelse ikke vil ske, hvis betaling af gælden sker inden videregivelsen eller der indrømmes henstand eller indgås og overholdes en aftale om afdragsvis betaling.

§ 18. Vedkommende minister kan fastsætte nærmere regler om fremgangsmåden ved videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige. Der kan i den forbindelse fastsættes regler om, at oplysninger om visse former for gæld til det offentlige ikke må videregives eller kun må videregives, hvis yderligere betingelser end dem, der er nævnt i § 16, er opfyldt.

Kapitel 5

Kreditoplysningsbureauer

§ 19. Den, som ønsker at drive virksomhed med behandling af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik på videregivelse (kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet, inden behandlingen påbegyndes, jf. § 26, stk. 1, nr. 2.

§ 20. Kreditoplysningsbureauer må kun behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed.

Stk. 2. Kreditoplysningsbureauer må ikke behandle oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller artikel 10.

Stk. 3. Oplysninger om forhold, der taler imod kreditværdighed, og som er mere end 5 år gamle, må ikke behandles, medmindre det i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen af den pågældendes økonomiske soliditet og kreditværdighed.

Stk. 4. Databeskyttelsesforordningens artikel 12-19 skal overholdes ved behandling af oplysninger om virksomheder m.v., hvis denne behandling udføres for kreditoplysningsbureauer.

§ 21. Oplysninger om økonomisk soliditet og kreditværdighed til abonnenter må kun meddeles skriftligt. Kreditoplysningsbureauet kan dog meddele summariske oplysninger mundtligt eller på lignende måde, hvis spørgerens navn og adresse noteres og opbevares i mindst 6 måneder.

Stk. 2. Kreditoplysningsbureauers publikationer må kun indeholde oplysninger i summarisk form og kun udsendes til personer eller virksomheder, der abonnerer på meddelelser fra bureauet. Publikationerne må ikke indeholde oplysninger om de registreredes personnummer.

Stk. 3. Summariske oplysninger om skyldforhold må kun videregives, hvis oplysningerne hidrører fra Statstidende, er indberettet af en offentlig myndighed efter reglerne i kapitel 4, eller hvis oplysningerne vedrører skyldforhold til samme kreditor på mere end 1.000 kr. og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld eller der er foretaget retslige skridt mod den pågældende. Oplysninger om endelig godkendt gældssanering må dog ikke videregives. De regler, der er nævnt i 1. og 2. pkt., gælder tillige for videregivelse af summariske oplysninger om skyldforhold i forbindelse med udarbejdelse af bredere kreditbedømmelser.

Stk. 4. Videregivelse af summariske oplysninger om enkeltpersoners skyldforhold må kun ske på en sådan måde, at oplysningerne ikke kan danne grundlag for vurderingen af økonomisk soliditet og kreditværdighed for andre end de pågældende enkeltpersoner.

Afsnit III

Registreredes rettigheder

Kapitel 6

Begrænsninger i registreredes rettigheder

§ 22. Bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34 gælder ikke, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Stk. 2. Undtagelse fra bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34 kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed,

5) andre vigtige målsætninger i forbindelse med beskyttelse af Den Europæiske Unions eller en medlemsstats generelle samfundsinteresser, navnlig Den Europæiske Unions eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed,

6) beskyttelse af retsvæsenets uafhængighed og retssager,

7) forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv,

8) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i nr. 1-5 og 7,

9) beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder og

10) håndhævelse af civilretlige krav.

Stk. 3. Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, i samme omfang som efter reglerne i §§ 19-29 og 35 i lov om offentlighed i forvaltningen.

Stk. 4. Databeskyttelsesforordningens artikel 13-15 finder ikke anvendelse på behandling af personoplysninger, der foretages for domstolene, når disse handler i deres egenskab af domstol.

Stk. 5. Databeskyttelsesforordningens artikel 15, 16, 18 og 21 finder ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt eller statistisk øjemed.

Stk. 6. Databeskyttelsesforordningens artikel 34 gælder ikke, så længe underretning af registrerede konkret må antages at vanskeliggøre efterforskningen af strafbare forhold. Anvendelse af 1. pkt. kan alene besluttes af politiet.

§ 23. Oplysningspligten efter databeskyttelsesforordningens artikel 13, stk. 3, og artikel 14, stk. 4, finder ikke anvendelse, når offentlige myndigheder viderebehandler personoplysningerne til et andet formål end det, hvortil de er indsamlet, og viderebehandlingen sker på baggrund af regler fastsat efter lovens § 5, stk. 3. 1. pkt. finder ikke anvendelse, når formålet er sammenstilling eller samkøring af personoplysninger i kontroløjemed.

Afsnit IV

Supplerende bestemmelser til databeskyttelsesforordningens kapitel IV

Kapitel 7

Tavshedspligt for databeskyttelsesrådgivere

§ 24. Databeskyttelsesrådgivere, der er udpeget efter databeskyttelsesforordningens artikel 37, stk. 1, litra b og c, må ikke uberettiget videregive eller udnytte oplysninger, som de under udøvelsen af deres hverv som databeskyttelsesrådgiver er blevet bekendt med.

Kapitel 8

Akkreditering af certificeringsorganer

§ 25. Datatilsynet og det nationale akkrediteringsorgan, som er udpeget i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af Rådets forordning (EØF) nr. 339/93, er bemyndiget til at akkreditere certificeringsorganer, jf. databeskyttelsesforordningens artikel 43, stk. 1, litra a og b.

Afsnit V

Tilladelse til behandling

Kapitel 9

Tilladelse til behandling

§ 26. Forinden iværksættelse af en behandling, der foretages for en privat dataansvarlig, skal Datatilsynets tilladelse indhentes, når

1) behandlingen af oplysningerne sker med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret,

2) behandlingen sker med henblik på erhvervsmæssig videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed eller

3) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer.

Stk. 2. Justitsministeren kan fastsætte regler om undtagelser fra bestemmelserne i stk. 1.

Stk. 3. Justitsministeren kan fastsætte regler om, at der forinden iværksættelse af andre behandlinger end dem, der er nævnt i stk. 1, skal indhentes tilladelse fra tilsynet, herunder for behandlinger, der foretages for en offentlig myndighed.

Stk. 4. Tilsynet kan i forbindelse med meddelelse af tilladelse efter stk. 1 eller 3 fastsætte vilkår for udførelsen af behandlingerne til beskyttelse af de registreredes privatliv.

Stk. 5. Forinden iværksættelse af ændringer i de behandlinger, der er nævnt i stk. 1 eller 3, skal Datatilsynets tilladelse indhentes på ny, hvis der er tale om væsentlige ændringer.

Afsnit VI

Uafhængige tilsynsmyndigheder

Kapitel 10

Datatilsynet

§ 27. Datatilsynet, der består af et råd og et sekretariat, fører i overensstemmelse med databeskyttelsesforordningens kapitel VI og VII tilsyn med enhver behandling, der omfattes af denne lov, databeskyttelsesforordningen og anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, jf. dog lovens kapitel 11. Datatilsynet udøver sine funktioner i fuld uafhængighed.

Stk. 2. Tilsynets daglige forretninger varetages af et sekretariat, der ledes af en direktør.

Stk. 3. Justitsministeren nedsætter Datarådet, som består af 1 formand, der skal være landsdommer eller højesteretsdommer, og af 7 andre medlemmer. Erhvervsministeren og ministeren for offentlig innovation udnævner hver 1 af de 7 andre medlemmer omfattet af 1. pkt. Justitsministeren kan udnævne stedfortrædere for 5 medlemmer, og erhvervsministeren og ministeren for offentlig innovation kan udnævne hver en af stedfortræderne. Formanden, medlemmerne og stedfortræderne for disse udnævnes for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer.

Stk. 4. Rådet fastsætter sin forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat.

Stk. 5. Udpegelsen af formand, medlemmer og stedfortrædere for disse er betinget af, at de pågældende sikkerhedsgodkendes, og at godkendelsen opretholdes i hele embedsperioden.

Stk. 6. Hvervet som formand, medlem eller stedfortræder ophører ved udgangen af embedsperioden eller ved frivillig fratræden.

Stk. 7. Formanden, medlemmerne og stedfortræderne for disse kan alene afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis disse ikke længere opfylder betingelserne for at varetage hvervet.

Stk. 8. Sekretariatets personale samt Datarådets formand og medlemmer og stedfortrædere for disse kan kun have bibeskæftigelse, i det omfang det er foreneligt med udøvelsen af de pligter, der er knyttet til stillingen eller hvervet.

Stk. 9. Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd i overensstemmelse med databeskyttelsesforordningens kapitel VII, afdeling 1 og 2.

§ 28. Ved udarbejdelse af lovforslag, bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af personoplysninger, skal der indhentes en udtalelse fra Datatilsynet.

§ 29. Datatilsynet kan kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under databeskyttelsesforordningens og lovens bestemmelser.

Stk. 2. Datatilsynets medlemmer og personale har mod behørig legitimation til enhver tid uden retskendelse adgang til alle lokaler, hvorfra en behandling af personoplysninger foretages. Politiet yder om fornødent bistand hertil.

§ 30. Datatilsynets afgørelser kan ikke indbringes for anden administrativ myndighed.

Stk. 2. Datatilsynet kan indbringe spørgsmål om overtrædelser af denne lov og databeskyttelsesforordningen for retten i den borgerlige retsplejes former.

§ 31. Er der ikke vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet efter artikel 45 i databeskyttelsesforordningen, kan Datatilsynet i særlige tilfælde forbyde, begrænse eller suspendere overførsel af særlige kategorier af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, til et tredjeland eller en international organisation.

§ 32. Datatilsynet kan påse, at en behandling af oplysninger, som finder sted i Danmark, er lovlig, uanset at den pågældende behandling er undergivet en anden medlemsstats lovgivning. Bestemmelsen i § 29 finder tilsvarende anvendelse.

Stk. 2. Datatilsynet kan videregive oplysninger til tilsynsmyndigheder i andre medlemsstater, i det omfang det er nødvendigt for at påse overholdelsen af bestemmelserne i denne lov, databeskyttelsesforordningen eller den pågældende medlemsstats databeskyttelseslovgivning.

§ 33. Datatilsynet kan offentliggøre sine udtalelser og afgørelser. Bestemmelsen i § 22 finder anvendelse på offentliggørelsen.

§ 34. Datatilsynet og Domstolsstyrelsen samarbejder, i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger.

§ 35. Justitsministeren kan fastsætte nærmere regler om, at Datatilsynet og Domstolsstyrelsen har yderligere beføjelser end dem, der er omhandlet i databeskyttelsesforordningens artikel 58, stk. 1, 2 og 3.

§ 36. Datatilsynet kan bestemme, at ansøgninger om tilladelse efter denne lov og ændringer heri kan eller skal indgives på nærmere angiven måde.

Stk. 2. Justitsministeren kan i henhold til denne lov fastsætte regler om betaling af gebyr for indgivelse af ansøgninger om tilladelser og ændringer heri, herunder regler om gebyrets størrelse og om, at en tilladelse ikke meddeles, før betaling er sket.

Stk. 3. Justitsministeren kan fastsætte regler om betaling af gebyr efter databeskyttelsesforordningens artikel 57, stk. 4.

Stk. 4. Justitsministeren kan fastsætte regler om, at henvendelser til Datatilsynet om databeskyttelsesforordningen og loven skal foregå digitalt. Justitsministeren kan i den forbindelse fastsætte nærmere regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign. Justitsministeren kan endvidere fastsætte nærmere regler om afvisning af henvendelser, der ikke indgives digitalt, og om undtagelser herfra. Justitsministeren kan endelig fastsætte nærmere regler om, hvornår en digital meddelelse anses for at være kommet frem.

Kapitel 11

Tilsyn med domstolene

§ 37. Domstolsstyrelsen fører i overensstemmelse med databeskyttelsesforordningens kapitel VI og VII tilsyn med behandling af oplysninger, der foretages for domstolene, når disse ikke handler i deres egenskab af domstol.

Stk. 2. For anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den afgørelse, der er nævnt i 1. pkt., kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger, fra den dag afgørelsen er meddelt den pågældende.

§ 38. For Domstolsstyrelsens udøvelse af tilsyn i henhold til § 37 gælder bestemmelserne i §§ 29 og 34. Domstolsstyrelsens afgørelser er endelige.

Afsnit VII

Retsmidler, ansvar, sanktioner og afsluttende bestemmelser

Kapitel 12

Retsmidler, ansvar og sanktioner

§ 39. Den registrerede eller dennes repræsentant kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den registrerede, jf. databeskyttelsesforordningens artikel 77.

Stk. 2. Tilsynsmyndighedernes afgørelser, undladelser af at behandle en klage fra en registreret eller manglende underretning kan af den registrerede eller dennes repræsentant indbringes for domstolene i den borgerlige retsplejes former, jf. databeskyttelsesforordningens artikel 78.

Stk. 3. Den registrerede eller dennes repræsentant kan indbringe spørgsmål om dataansvarliges og databehandleres overholdelse af denne lov for domstolene i den borgerlige retsplejes former, jf. databeskyttelsesforordningens artikel 79.

§ 40. Enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid med denne lov og databeskyttelsesforordningen, har ret til erstatning efter databeskyttelsesforordningens artikel 82.

§ 41. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 6 måneder den, der overtræder bestemmelserne om

1) den dataansvarliges og databehandlerens forpligtelser i henhold til databeskyttelsesforordningens artikel 8, 11, 25-39, 42 eller 43,

2) certificeringsorganets forpligtelser i henhold til databeskyttelsesforordningens artikel 42 eller 43,

3) kontrolorganets forpligtelser i henhold til databeskyttelsesforordningens artikel 41, stk. 4,

4) de grundlæggende principper for behandling, herunder betingelserne for samtykke, i databeskyttelsesforordningens artikel 5-7 og 9,

5) de registreredes rettigheder i henhold til databeskyttelsesforordningen artikel 12-22 eller

6) overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til databeskyttelsesforordningens artikel 44-49.

Stk. 2. På samme måde straffes den, der

1) overtræder § 5, stk. 1 og 2, § 6, § 7, stk. 1-4, § 8, § 9, stk. 1 og 2, § 10, stk. 1-4, §§ 11 og 12, § 13, stk. 1-7, § 20, § 21 eller § 26, stk. 1 og 5,

2) overtræder databeskyttelsesforordningens artikel 10, medmindre forholdet er omfattet af § 8,

3) hindrer tilsynsmyndigheden i at få adgang efter artikel 58, stk. 1,

4) undlader at efterkomme et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til databeskyttelsesforordningens artikel 58, stk. 2,

5) undlader at efterkomme et påbud fra tilsynsmyndigheden som omhandlet i databeskyttelsesforordningens artikel 58, stk. 2,

6) undlader at efterkomme Datatilsynets krav efter § 29, stk. 1, eller § 32, stk. 1, 2. pkt., jf. § 29, stk. 1,

7) hindrer Datatilsynet i at få adgang efter § 29, stk. 2, eller § 32, stk. 1, 2. pkt., jf. § 29, stk. 2, eller

8) i øvrigt undlader at efterkomme Datatilsynets afgørelser efter loven eller tilsidesætter Datatilsynets vilkår for en tilladelse i medfør af loven.

Stk. 3. Databeskyttelsesforordningens artikel 83, stk. 2, skal følges ved pålæggelse af straf efter stk. 1 og 2.

Stk. 4. Den, der overtræder § 24, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.

Stk. 5. I regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller fængsel indtil 6 måneder.

Stk. 6. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. Uanset straffelovens § 27, stk. 2, kan offentlige myndigheder og institutioner m.v., som er omfattet af forvaltningslovens § 1, stk. 1 eller 2, straffes i anledning af overtrædelser, der begås ved udøvelse af virksomhed, der ikke svarer til eller kan sidestilles med virksomhed udøvet af private.

Stk. 7. Forældelsesfristen for overtrædelse af databeskyttelsesforordningen, denne lov eller regler udstedt i medfør af loven er 5 år.

§ 42. Skønnes en overtrædelse af denne lov eller databeskyttelsesforordningen eller regler, der er udstedt i medfør af loven, ikke at ville medføre højere straf end bøde, kan Datatilsynet i et bødeforelæg tilkendegive, at sagen kan afgøres uden retssag, hvis den, der har begået overtrædelsen, erklærer sig skyldig i overtrædelsen og erklærer sig rede til inden en nærmere angivet frist, der efter begæring kan forlænges, at betale en i bødeforelægget angivet bøde.

Stk. 2. Retsplejelovens regler om krav til indholdet af et anklageskrift og om, at en sigtet ikke er forpligtet til at udtale sig, finder tilsvarende anvendelse på bødeforelæg.

Stk. 3. Vedtages bøden, bortfalder videre forfølgning.

§ 43. Den, der driver eller er beskæftiget med virksomhed som nævnt i § 26 eller som privat databehandler opbevarer personoplysninger, kan ved dom for strafbart forhold frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for misbrug. I øvrigt finder straffelovens § 79, stk. 3 og 4, anvendelse.

Kapitel 13

Afsluttende bestemmelser

§ 44. Vedkommende minister kan i særlige tilfælde og inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger efter forhandling med justitsministeren fastsætte nærmere regler om behandlinger, som udføres for den offentlige forvaltning.

Stk. 2. Justitsministeren kan inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger fastsætte nærmere regler om bestemte typer af behandlinger, som udføres for private dataansvarlige, herunder at bestemte typer oplysninger ikke må behandles.

§ 45. Justitsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Den Europæiske Union udstedte beslutninger, som træffes med henblik på gennemførelse af databeskyttelsesforordningen, eller regler, som er nødvendige for at anvende de af Den Europæiske Union udstedte retsakter på forordningens område.

§ 46. Loven træder i kraft den 25. maj 2018.

Stk. 2. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger ophæves.

§ 47. For behandlinger, hvortil der inden lovens ikrafttræden er opnået tilladelse efter § 50, stk. 1, nr. 2, 3 og 5, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger som ændret senest ved lov nr. 426 af 3. maj 2017, gælder tilladelsen efter denne lovs ikrafttræden, indtil den erstattes af en ny tilladelse efter lovens § 26, stk. 1.

§ 48. Loven gælder ikke for Færøerne og Grønland.

Givet på Amalienborg, den 23. maj 2018

Under Vor Kongelige Hånd og Segl

MARGRETHE R.

/ Søren Pape Poulsen