Kapitel 1
Lovens område
§ 1. Loven gælder for behandling af personoplysninger,
som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for
ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt
i et register.
Stk. 2. Loven gælder tillige for anden ikke-
elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger
om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige
forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder
dog ikke reglerne i lovens kapitel 8 og
9.
Stk. 3. Lovens § 5, stk.
1-3, §§ 6-8, § 10,
§ 11, stk. 1, § 38 og § 40
gælder også for manuel videregivelse af personoplysninger til en anden forvaltningsmyndighed.
Datatilsynet fører i overensstemmelse med lovens kapitel 16 tilsyn med videregivelse
som nævnt i 1. pkt.
Stk. 4. Loven gælder endvidere for behandling
af oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling udføres
for kreditoplysningsbureauer. Tilsvarende gælder for så vidt angår behandlinger,
som er omfattet af § 50, stk. 1, nr. 2.
Stk. 5. Kapitel 5 gælder
også for behandling af oplysninger om virksomheder m.v. , jf. stk. 1.
Stk. 6. Uden for de i stk. 4 nævnte tilfælde
kan justitsministeren bestemme, at lovens regler helt eller delvis skal finde anvendelse
på behandling af oplysninger om virksomheder m.v., som udføres for private.
Stk. 7. Uden for de i stk. 5 nævnte tilfælde
kan vedkommende minister bestemme, at lovens regler helt eller delvis skal finde
anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for den
offentlige forvaltning.
Stk. 8. Loven gælder for enhver form for behandling
af personoplysninger i forbindelse med tv-overvågning.
§ 1, stk. 7 er indsat ved § 2.1 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007.
§ 1, stk. 3 er indsat ved § 2.1 i
lov nr. 503 af 12.06.2009 fra d. 01.07.2009.
§ 1, stk. 6 er ændret ved § 2.2 i
lov nr. 503 af 12.06.2009 fra d. 01.07.2009. I
§ 1, stk. 5, der bliver stykke 6, ændres »stk. 3« til: »stk. 4«.
§ 1, stk. 7 er ændret ved § 2.3 i
lov nr. 503 af 12.06.2009 fra d. 01.07.2009. I
§ 1, stk. 6, der bliver stykke 7, ændres »stk. 4« til: »stk. 5«.
§ 2. Regler om behandling af personoplysninger i anden
lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne
i denne lov.
Stk. 2. Loven finder ikke anvendelse, hvis det
vil være i strid med informations- og ytringsfriheden, jf.
Den Europæiske Menneskerettighedskonventions artikel 10.
Stk. 3. Loven gælder ikke for behandlinger, som
en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat
karakter.
Stk. 4. Loven finder ikke anvendelse på behandling
af oplysninger, der foretages for Folketinget og institutioner med tilknytning dertil.
Stk. 5. Loven finder ikke anvendelse på behandlinger,
der er omfattet af lov om massemediers informationsdatabaser.
Stk. 6. Loven finder ikke anvendelse på informationsdatabaser,
hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller
lyd- og billedprogrammer, der er omfattet af medieansvarslovens
§ 1, nr. 1 eller 2, eller dele heraf, når indlæggelsen i informationsdatabasen
er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens
§§ 41, 42 og 69.
Stk. 7. Loven gælder endvidere ikke for informationsdatabaser,
hvori der udelukkende er indlagt allerede offentliggjorte tekster, billeder og lydprogrammer,
der omfattes af medieansvarslovens § 1, nr. 3,
eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold
til offentliggørelsen. Dog gælder bestemmelserne i lovens §§ 41,
42 og 69.
Stk. 8. Loven finder ikke anvendelse på manuelle
arkiver over udklip fra offentliggjorte, trykte artikler, som udelukkende behandles
i journalistisk øjemed. Dog gælder bestemmelserne i lovens §§ 41,
42 og 69.
Stk. 9. For behandling af oplysninger, som i
øvrigt udelukkende finder sted i journalistisk øjemed, gælder alene bestemmelserne
i lovens §§ 41, 42 og 69.
Det samme gælder for behandling af oplysninger, som udelukkende sker med henblik
på kunstnerisk eller litterær virksomhed.
Stk. 10. Loven gælder ikke for behandlinger,
der udføres for politiets og forsvarets efterretningstjenester.
§ 2, stk. 4 er ophævet ved § 55.1 i
lov nr. 410 af 27.04.2017 fra d. 30.04.2017. Stk. 5-11 bliver herefter stk.
4-10. Hidtidig formulering: Stk. 4. Bestemmelserne
i lovens kapitel 8 og 9 og
§§ 35-37 og § 39 finder ikke anvendelse
på behandlinger, der foretages for domstolene inden for det strafferetlige område.
Bestemmelserne i lovens kapitel 8 og §§ 35-37 og § 39 finder heller ikke anvendelse
på behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige
område.
§ 2 a. Loven gælder ikke for behandling, som er omfattet
af lov om retshåndhævende myndigheders behandling af personoplysninger, jf. dog
stk. 2.
Stk. 2. Regler udstedt i medfør af
§ 32, stk. 5, § 41, stk. 5,
§ 55, stk. 4, og § 72 gælder for den behandling
af personoplysninger, der er omfattet af lov om retshåndhævende myndigheders behandling
af personoplysninger, medmindre det vil være i strid med denne lov.
§ 2 a er indsat ved § 55.2 i
lov nr. 410 af 27.04.2017 fra d. 30.04.2017.
Kapitel 2
Definitioner
§ 3. I denne lov forstås ved:
1) Personoplysninger:
Enhver form for information om en identificeret eller identificerbar fysisk person
(den registrerede).
2) Behandling:
Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling,
som oplysninger gøres til genstand for.
3) Register med personoplysninger (register):
Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte
kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt
på et funktionsbestemt eller geografisk grundlag.
4) Den dataansvarlige:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert
andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke
hjælpemidler der må foretages behandling af oplysninger.
5) Databehandleren:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert
andet organ, der behandler oplysninger på den dataansvarliges vegne.
6) Tredjemand:
Enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller
ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og
de personer under den dataansvarliges eller databehandlerens direkte myndighed,
der er beføjet til at behandle oplysninger.
7) Modtager:
Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert
andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand.
Myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel,
betragtes ikke som modtagere.
8) Den registreredes samtykke:
Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede
indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand
for behandling.
9) Tredjeland:
En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført
aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler
svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger.
Kapitel 3
Lovens geografiske område
§ 4. Loven gælder for behandling af oplysninger, som
udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder
sted inden for Det Europæiske Fællesskabs område.
Stk. 2. Loven gælder endvidere for den behandling,
som udføres for danske diplomatiske repræsentationer.
Stk. 3. Loven gælder også for en dataansvarlig,
som er etableret i et tredjeland, hvis
1) behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder
sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse
af oplysninger gennem Det Europæiske Fællesskabs område eller
2) indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland.
Stk. 4. Dataansvarlige, som i henhold til stk.
3, nr. 1, er omfattet af denne lov, skal udpege en repræsentant, som er etableret
i Danmark. Den registreredes mulighed for at foretage retslige skridt mod vedkommende
dataansvarlige berøres ikke heraf.
Stk. 5. Den dataansvarlige skal skriftligt underrette
Datatilsynet om, hvem der er udpeget som repræsentant, jf. stk. 4.
Stk. 6. Loven gælder, hvis der for en dataansvarlig,
der er etableret i et andet medlemsland, behandles oplysninger i Danmark og behandlingen
ikke er omfattet af direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger. Loven gælder også, hvis der for en dataansvarlig, der er
etableret i en stat, som har gennemført en aftale med Det Europæiske Fællesskab,
der indeholder regler svarende til det i 1. pkt. nævnte direktiv, behandles oplysninger
i Danmark og behandlingen ikke er omfattet af de nævnte regler.
Afsnit II
Behandlingsregler
Kapitel 4
Behandling af oplysninger
§ 5. Oplysninger skal behandles i overensstemmelse med
god databehandlingsskik.
Stk. 2. Indsamling af oplysninger skal ske til
udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig
med disse formål. Senere behandling af oplysninger, der alene sker i historisk,
statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål,
hvortil oplysningerne er indsamlet.
Stk. 3. Oplysninger, som behandles, skal være
relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse
af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne
senere behandles.
Stk. 4. Behandling af oplysninger skal tilrettelægges
således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere
foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller
vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende,
skal snarest muligt slettes eller berigtiges.
Stk. 5. Indsamlede oplysninger må ikke opbevares
på en måde, der giver mulighed for at identificere den registrerede i et længere
tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne
behandles.
§ 6. Behandling af oplysninger må kun finde sted, hvis
1) den registrerede har givet sit udtrykkelige samtykke hertil,
2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede
er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på
den registreredes anmodning forud for indgåelsen af en sådan aftale,
3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler
den dataansvarlige,
4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser,
5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets
interesse,
6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører
under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand,
til hvem oplysningerne videregives, har fået pålagt, eller
7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand,
til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet
til den registrerede ikke overstiger denne interesse.
Stk. 2. En virksomhed må ikke videregive oplysninger
om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende
oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren
har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse
med reglerne i markedsføringslovens §
10.
Stk. 3. Videregivelse og anvendelse som nævnt
i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger,
der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk.
1, nr. 7, er opfyldt.
Stk. 4. Der kan efter stk. 3 ikke videregives
eller anvendes oplysninger som nævnt i §§ 7 og 8.
Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive
eller anvende bestemte typer af oplysninger efter stk. 3.
§ 6, stk. 2, 2. pkt. er ændret ved § 2.2 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007. I
§ 6, stk. 2, 2. pkt., ændres »markedsføringslovens § 6 a« til: »markedsføringslovens
§ 6«.
§ 6, stk. 2 er ændret ved § 44.1 i
lov nr. 426 af 03.05.2017 fra d. 01.07.2017. I § 6, stk. 2, 2. pkt., ændres
»markedsføringslovens § 6« til: »markedsføringslovens § 10«.
§ 7. Der må ikke behandles oplysninger om racemæssig
eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige
tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.
Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse,
hvis
1) den registrerede har givet sit udtrykkelige samtykke til en sådan behandling,
2) behandlingen er nødvendig for at beskytte den registreredes eller en anden
persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk
er i stand til at give sit samtykke,
3) behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede,
eller
4) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende
eller forsvares.
Stk. 3. Behandling af oplysninger om fagforeningsmæssige
tilhørsforhold kan endvidere ske, hvis behandlingen er nødvendig for overholdelsen
af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder.
Stk. 4. En stiftelse, en forening eller en anden
almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller
faglig art, kan inden for rammerne af sin virksomhed foretage behandling af de i
stk. 1 nævnte oplysninger om organisationens medlemmer eller personer, der på grund
af organisationens formål er i regelmæssig kontakt med denne. Videregivelse af sådanne
oplysninger kan dog kun finde sted, hvis den registrerede har meddelt sit udtrykkelige
samtykke hertil eller behandlingen er omfattet af stk. 2, nr. 2-4, eller stk. 3.
Stk. 5. Bestemmelsen i stk. 1 finder ikke anvendelse,
hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse,
medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge-
og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden
for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.
Stk. 6. Behandling af de i stk. 1 anførte oplysninger
kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse
af sine opgaver på det strafferetlige område.
Stk. 7. Undtagelse fra bestemmelsen i stk. 1
kan endvidere gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører
hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse
hertil. Der kan fastsættes nærmere vilkår for behandlingen. Hvor tilladelse meddeles,
giver tilsynsmyndigheden underretning herom til Europa-Kommissionen.
Stk. 8. For den offentlige forvaltning må der
ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt
tilgængelige.
§ 8. For den offentlige forvaltning må der ikke behandles
oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private
forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt
for varetagelsen af myndighedens opgaver.
Stk. 2. De i stk. 1 nævnte oplysninger må ikke
videregives. Videregivelse kan dog ske, hvis
1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen,
2) videregivelsen sker til varetagelse af private eller offentlige interesser,
der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse,
herunder hensynet til den, oplysningen angår,
3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller
påkrævet for en afgørelse, som myndigheden skal træffe, eller
4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds
opgaver for det offentlige.
Stk. 3. Forvaltningsmyndigheder, der udfører
opgaver inden for det sociale område, må kun videregive de i stk. 1 nævnte oplysninger
og de oplysninger, der er nævnt i § 7, stk. 1, hvis betingelserne
i stk. 2, nr. 1 eller 2, er opfyldt, eller hvis videregivelsen er et nødvendigt
led i sagens behandling eller nødvendig for, at en myndighed kan gennemføre tilsyns-
eller kontrolopgaver.
Stk. 4. Private må behandle oplysninger om strafbare
forhold, væsentlige sociale problemer og andre rent private forhold end de i
§ 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke
hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af
en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.
Stk. 5. De i stk. 4 nævnte oplysninger må ikke
videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog
ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser,
herunder hensynet til den pågældende selv, der klart overstiger hensynet til de
interesser, der begrunder hemmeligholdelse.
Stk. 6. Behandling af oplysninger i de tilfælde,
der er reguleret i stk. 1, 2, 4 og 5, kan i øvrigt finde sted, hvis betingelserne
i § 7 er opfyldt.
Stk. 7. Et fuldstændigt register over straffedomme
må kun føres for en offentlig myndighed.
§ 9. Oplysninger som nævnt i § 7, stk.
1, eller § 8 må behandles, hvis dette alene sker med henblik
på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis
behandlingen er nødvendig for førelsen af systemerne.
Stk. 2.
De af stk. 1 omfattede oplysninger må ikke senere behandles i andet øjemed. Det
samme gælder behandling af andre oplysninger, som alene foretages med henblik på
at føre retsinformationssystemer, jf. § 6.
Stk. 3. Tilsynsmyndigheden kan meddele nærmere
vilkår for de i stk. 1 nævnte behandlinger. Tilsvarende gælder for de i
§ 6 nævnte oplysninger, som alene behandles i forbindelse med førelsen af
retsinformationssystemer.
§ 10. Oplysninger som nævnt i § 7, stk.
1, eller § 8 må behandles, hvis dette alene sker med henblik
på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig
betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.
Stk. 2. De af stk. 1 omfattede oplysninger må
ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme
gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt
øjemed, jf. § 6.
Stk. 3. De af stk. 1 og 2 omfattede oplysninger
må kun videregives til tredjemand efter forudgående tilladelse fra tilsynsmyndigheden.
Tilsynsmyndigheden kan stille nærmere vilkår for videregivelsen.
§ 11. Offentlige myndigheder kan behandle oplysninger
om personnummer med henblik på en entydig identifikation eller som journalnummer.
Stk. 2. Private må behandle oplysninger om personnummer,
når
1) det følger af lov eller bestemmelser fastsat i henhold til lov,
2) den registrerede har givet sit udtrykkelige samtykke hertil eller
3) behandlingen alene finder sted til videnskabelige eller statistiske formål,
eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen
er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art,
og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation
af den registrerede eller videregivelsen kræves af en offentlig myndighed.
Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3,
må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.
§ 12. Dataansvarlige, der med henblik på markedsføring
sælger fortegnelser over grupper af personer, eller som for tredjemand foretager
adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle
1) oplysninger om navn, adresse, stilling, erhverv, e-postadresse, telefon- og
telefaxnummer,
2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser
fastsat i henhold til lov er beregnet til at informere offentligheden, samt
3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil.
Et samtykke skal indhentes i overensstemmelse med
markedsføringslovens § 10.
Stk. 2. Oplysninger som nævnt i
§ 7, stk. 1, eller § 8, må dog ikke behandles. Justitsministeren
kan fastsætte yderligere begrænsninger i adgangen til at behandle bestemte typer
af oplysninger.
§ 12, stk. 1, nr. 3, 2. pkt. er ændret ved § 2.2 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007. I
§ 12, stk. 1, nr. 3, 2. pkt., ændres »markedsføringslovens
§ 6 a« til: »markedsføringslovens § 6«.
§ 12, stk. 1, nr. 3 er ændret ved § 44.2 i
lov nr. 426 af 03.05.2017 fra d. 01.07.2017. I § 12, stk. 1, nr. 3, 2. pkt.,
ændres »markedsføringslovens § 6« til: »markedsføringslovens § 10«.
§ 13. Offentlige myndigheder og private virksomheder
m.v. må ikke foretage automatisk registrering af, hvilke telefonnumre der er foretaget
opkald til fra deres telefoner. Registrering må dog ske efter forudgående tilladelse
fra tilsynsmyndigheden i tilfælde, hvor afgørende hensyn til private eller offentlige
interesser taler herfor. Tilsynsmyndigheden kan fastsætte nærmere vilkår for registreringen.
Stk. 2.
Bestemmelsen i stk. 1 gælder ikke, hvis andet følger af lov, eller for så vidt angår
udbydere af telenet og teletjenesters registrering af, til hvilke telefonnumre der
er foretaget opkald, enten til eget brug eller til brug ved teknisk kontrol.
§ 14. Oplysninger, der er omfattet af denne lov, kan
overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.
Kapitel 5
Videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige
§ 15. Oplysninger om gæld til det offentlige kan efter
bestemmelserne i dette kapitel videregives til kreditoplysningsbureauer.
Stk. 2.
Oplysninger som nævnt i § 7, stk. 1, eller § 8,
stk. 1, må ikke videregives.
Stk. 3.
Fortrolige oplysninger videregivet efter reglerne i dette kapitel anses ikke af
den grund for offentligt tilgængelige i øvrigt.
§ 16. Oplysninger om gæld til det offentlige kan videregives
til et kreditoplysningsbureau, hvis
1) det følger af lov eller bestemmelser fastsat i henhold til lov eller
2) den samlede gæld er forfalden og overstiger 7.500 kr., idet der dog ikke heri
må indgå gældsposter, der er omfattet af en overholdt aftale om henstand eller afdragsvis
betaling.
Stk. 2. Det er en betingelse, at den samlede
gæld, jf. stk. 1, nr. 2, administreres af samme inddrivelsesmyndighed.
Stk. 3. Det er endvidere en betingelse for videregivelse
efter stk. 1, nr. 2, at
1) gælden kan inddrives ved udpantning og der er fremsendt 2 rykkere til skyldneren,
2) der er foretaget eller forsøgt foretaget udlæg for kravet,
3) kravet er fastslået ved endelig dom eller
4) det offentlige har erhvervet skyldnerens skriftlige erkendelse af den forfaldne
gæld.
§ 17. Myndigheden skal give skyldneren skriftlig meddelelse
herom, forinden videregivelse finder sted. Videregivelse må tidligst ske 4 uger
efter, at denne meddelelse er givet.
Stk. 2. Den i stk. 1 nævnte meddelelse skal
indeholde oplysninger om,
1) hvilke oplysninger der vil blive videregivet,
2) til hvilket kreditoplysningsbureau videregivelsen vil ske,
3) hvornår videregivelse vil finde sted, og
4) at videregivelse ikke vil ske, hvis betaling af gælden sker inden videregivelsen
eller der indrømmes henstand eller indgås og overholdes en aftale om afdragsvis
betaling.
§ 18. Vedkommende minister kan fastsætte nærmere regler
om fremgangsmåden ved videregivelse til kreditoplysningsbureauer af oplysninger
om gæld til det offentlige. Det kan i den forbindelse bestemmes, at oplysninger
om visse former for gæld til det offentlige ikke må videregives eller kun må videregives,
hvis yderligere betingelser end de i § 16 nævnte er opfyldt.
Kapitel 6
Kreditoplysningsbureauer
§ 19. Den, som ønsker at drive virksomhed med behandling
af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik
på videregivelse (kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet,
inden behandlingen påbegyndes, jf. § 50, stk. 1, nr. 3.
§ 20. Kreditoplysningsbureauer må kun behandle oplysninger,
som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed.
Stk. 2. Oplysninger som nævnt i
§ 7, stk. 1, eller § 8, stk. 4, må ikke behandles.
Stk. 3. Oplysninger om forhold, der taler imod
kreditværdighed, og som er mere end 5 år gamle, må ikke behandles, medmindre det
i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen
af den pågældendes økonomiske soliditet og kreditværdighed.
§ 21. Kreditoplysningsbureauer skal i overensstemmelse
med § 28, stk. 1, eller § 29, stk. 1, meddele
de oplysninger, der er nævnt i disse bestemmelser, til den, der behandles oplysninger
om.
§ 22. Kreditoplysningsbureauer skal til enhver tid på
begæring af den registrerede inden 4 uger på en let forståelig måde meddele denne
indholdet af de oplysninger og bedømmelser, som bureauet har videregivet om den
pågældende inden for de sidste 6 måneder, samt af de øvrige oplysninger, som bureauet
på tidspunktet for begæringens fremsættelse opbevarer om den pågældende i bearbejdet
form eller på digitalt medium, herunder foreliggende bedømmelser.
Stk. 2. Er bureauet i besiddelse af yderligere
materiale om den registrerede, skal dette samtidig meddeles den pågældende med oplysning
om materialets art samt om, at den registrerede kan få adgang til at gennemgå det
ved personlig henvendelse til bureauet.
Stk. 3. Bureauet skal endvidere give oplysning
om kategorien af modtagere af oplysningerne samt tilgængelig information om, hvorfra
de i stk. 1 og 2 nævnte oplysninger stammer.
Stk. 4. Den registrerede kan forlange, at bureauet
giver meddelelse som nævnt i stk. 1-3 skriftligt. Justitsministeren fastsætter regler
om betaling for skriftlige meddelelser.
§ 23. Oplysninger om økonomisk soliditet og kreditværdighed
må kun meddeles skriftligt, jf. dog § 22, stk. 1-3. Bureauet
kan dog til abonnenter meddele summariske oplysninger mundtligt eller på lignende
måde, såfremt spørgerens navn og adresse noteres og opbevares i mindst 6 måneder.
Stk. 2. Kreditoplysningsbureauers publikationer
må kun indeholde oplysninger i summarisk form og kun udsendes til personer eller
virksomheder, der abonnerer på meddelelser fra bureauet. Publikationerne må ikke
indeholde oplysninger om de registreredes personnummer.
Stk. 3.
Summariske oplysninger om skyldforhold må kun videregives, hvis oplysningerne hidrører
fra Statstidende, er indberettet af en offentlig myndighed efter reglerne i
kapitel 5, eller hvis oplysningerne vedrører skyldforhold til samme kreditor
på mere end 1.000 kr. og kreditor enten har erhvervet den registreredes skriftlige
erkendelse af en forfalden gæld, eller hvis der er foretaget retslige skridt mod
den pågældende. Oplysninger om endeligt godkendt gældssanering må dog ikke videregives.
De i 1. og 2. pkt. nævnte regler gælder tillige for videregivelse af summariske
oplysninger om skyldforhold i forbindelse med udarbejdelse af bredere kreditbedømmelser.
Stk. 4.
Videregivelse af summariske oplysninger om enkeltpersoners skyldforhold må kun ske
på en sådan måde, at oplysningerne ikke kan danne grundlag for vurderingen af økonomisk
soliditet og kreditværdighed for andre end de pågældende enkeltpersoner.
§ 24. Oplysninger eller bedømmelser, der viser sig urigtige
eller vildledende, skal snarest muligt slettes eller berigtiges.
§ 25. Er en oplysning eller bedømmelse, der viser sig
urigtig eller vildledende, forinden blevet videregivet, skal bureauet straks give
skriftlig underretning om berigtigelsen til den registrerede og til alle, der har
modtaget oplysningen eller bedømmelsen inden for de sidste 6 måneder, før bureauet
er blevet bekendt med forholdet. Den registrerede skal tillige have meddelelse om,
hvem der har modtaget underretning efter 1. pkt., og hvorfra oplysningen eller bedømmelsen
stammer.
§ 26. Henvendelser fra en registreret om sletning, berigtigelse
eller blokering af oplysninger eller bedømmelser, der angives at være urigtige eller
vildledende, eller om sletning af oplysninger, der ikke må behandles, jf.
§ 37, stk. 1, skal snarest og inden 4 uger efter modtagelsen besvares skriftligt
af bureauet.
Stk. 2. Nægter bureauet at foretage den begærede
sletning, berigtigelse eller blokering, kan den registrerede inden 4 uger efter
modtagelsen af bureauets svar eller efter udløbet af den i stk. 1 nævnte svarfrist
indbringe spørgsmålet for Datatilsynet, der træffer afgørelse om, hvorvidt der skal
foretages sletning, berigtigelse eller blokering. Bestemmelsen i § 25
gælder tilsvarende.
Stk. 3. Bureauets svar skal i de i stk. 2 nævnte
tilfælde indeholde oplysning om adgangen til at indbringe spørgsmålet for Datatilsynet
og om fristen herfor.
Kapitel 6 a
Tv-overvågning
Kapitel 6 a er indsat ved § 2.3 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007.
§ 26 a. Billed- og lydoptagelser med personoplysninger,
der optages i forbindelse med tv-overvågning i kriminalitetsforebyggende øjemed,
må kun videregives, hvis
1) den registrerede har givet sit udtrykkelige samtykke,
2) videregivelsen følger af lov eller
3) videregivelsen sker til politiet i kriminalitetsopklarende øjemed.
Stk. 2. Optagelser som nævnt i stk. 1 skal
slettes senest 30 dage efter, at optagelserne er foretaget, jf. dog stk. 3.
Stk. 3. Optagelser kan opbevares i et længere
tidsrum end nævnt i stk. 2, hvis det er nødvendigt af hensyn til den dataansvarliges
behandling af en konkret tvist. Den dataansvarlige skal i så fald inden for den
i stk. 2 angivne frist underrette den, som tvisten vedrører, og på anmodning udlevere
en kopi af optagelsen til den pågældende.
§ 26 a er indsat ved § 2.3 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007.
§ 26 b. Bestemmelserne i §§ 29
og 30 gælder uanset en eventuel skiltning i medfør af §§ 3 og
3 a i lov om tv-overvågning.
§ 26 b er indsat ved § 2.3 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007.
§ 26 c. Behandling af personoplysninger i forbindelse
med tv-overvågning er undtaget fra §§ 43, 48
og 52 om anmeldelse til Datatilsynet eller Domstolsstyrelsen.
Stk. 2. Uanset at behandling af personoplysninger
i forbindelse med tv-overvågning er undtaget fra § 48, skal
Datatilsynets tilladelse til overførsel af sådanne oplysninger til tredjelande i
medfør af § 27, stk. 1 og stk. 3, nr. 2-4,
altid indhentes, hvis oplysningerne er omfattet af § 50, stk. 1.
§ 26 c er indsat ved § 2.3 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007.
§ 26 d. En kommune må
kun behandle billedoptagelser med personoplysninger, der optages i forbindelse med
tv-overvågning omfattet af § 2 a i lov om tv-overvågning, hvis
1) den registrerede har givet sit udtrykkelige samtykke
til behandlingen eller
2) behandlingen sker med henblik på at fremme trygheden
for personer, som færdes i det tv-overvågede område.
Stk. 2. Optagelser
som nævnt i stk. 1 må videregives i de tilfælde, der er nævnt i §
26 a, stk. 1.
Stk. 3. Optagelser
som nævnt i stk. 1 skal slettes, senest 30 dage efter at optagelserne er foretaget.
§ 26 d er indsat ved § 2.1 i
lov nr. 422 af 10.05.2011 fra d. 01.07.2011.
Kapitel 7
Overførsel af oplysninger til tredjelande
§ 27. Der må kun overføres oplysninger til et tredjeland,
såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3.
Stk. 2. Vurderingen af, om beskyttelsesniveauet
i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der
har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens
formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de
retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder
i tredjelandet.
Stk. 3. Ud over de i stk. 1 nævnte
tilfælde kan der overføres oplysninger til et tredjeland, såfremt
1) den registrerede har givet udtrykkeligt samtykke,
2) overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede
og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der
træffes på den registreredes anmodning forud for indgåelse af en sådan aftale,
3) overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale,
der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand,
4) overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold
til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav
kan fastlægges, gøres gældende eller forsvares,
5) overførsel er nødvendig for at beskytte den registreredes vitale interesser,
6) overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat
i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan
godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte
betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde,
7) overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning
af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller
andre i sager om strafferetlig forfølgning eller
8) overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar
eller statens sikkerhed.
Stk. 4. Uden for de i stk. 3 nævnte
tilfælde kan tilsynsmyndigheden give tilladelse til, at der overføres oplysninger
til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige
garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere
vilkår for overførslen. Tilsynsmyndigheden underretter Europa-Kommissionen og de
øvrige medlemsstater om tilladelser meddelt i henhold til denne bestemmelse.
Stk. 5. Overførsel af oplysninger
til tredjelande kan ske uden tilladelse efter stk. 4, 1. pkt., på grundlag af kontrakter,
der er i overensstemmelse med standardkontraktbestemmelser, som er godkendt af Europa-Kommissionen.
Stk. 6. Reglerne i denne lov finder
i øvrigt anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1 og
3-5.
§ 27, stk. 5 er indsat ved § 1.1 i
lov nr. 1245 af 18.12.2012 fra d. 01.01.2013.
§ 27, stk. 6 er ændret ved § 1.2 i
lov nr. 1245 af 18.12.2012 fra d. 01.01.2013. I § 27, stk. 5, der bliver
stk. 6, ændres »stk. 1, 3 og 4« til: »stk. 1 og 3-5«.
Afsnit III
Registreredes rettigheder
Kapitel 8
Oplysningspligt over for den registrerede
§ 28. Ved indsamling af oplysninger hos den registrerede
skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse
om følgende:
1) Den dataansvarliges og dennes repræsentants identitet.
2) Formålene med den behandling, hvortil oplysningerne er bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder,
hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan
varetage sine interesser, som f.eks.:
a) Kategorierne af modtagere.
b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt
mulige følger af ikke at svare.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører
den registrerede.
Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis
den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger.
§ 29. Hvor oplysninger ikke er indsamlet hos den registrerede,
påhviler det den dataansvarlige eller dennes repræsentant ved registreringen, eller
hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest
når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse
om følgende:
1) Den dataansvarliges og dennes repræsentants identitet.
2) Formålene med den behandling, hvortil oplysningerne er bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder,
hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan
varetage sine interesser, som f.eks.:
a) Hvilken type oplysninger det drejer sig om.
b) Kategorierne af modtagere.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører
den registrerede.
Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis
den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, eller
hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser
fastsat i henhold til lov.
Stk. 3. Bestemmelsen i stk. 1 gælder heller
ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt
vanskelig.
§ 30. Bestemmelserne i § 28, stk. 1,
og § 29, stk. 1, gælder ikke, hvis den registreredes interesse
i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til
private interesser, herunder hensynet til den pågældende selv.
Stk. 2. Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan tillige
gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes
at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til
1) statens sikkerhed,
2) forsvaret,
3) den offentlige sikkerhed,
4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller
i forbindelse med brud på etiske regler for lovregulerede erhverv,
5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller
Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og
6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig
karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte
områder.
Kapitel 9
Den registreredes indsigtsret
§ 31. Fremsætter en person begæring herom, skal den
dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger
om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde
gives den registrerede meddelelse om,
1) hvilke oplysninger der behandles,
2) behandlingens formål,
3) kategorierne af modtagere af oplysningerne og
4) tilgængelig information om, hvorfra disse oplysninger stammer.
Stk. 2. Den dataansvarlige skal snarest besvare
begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen,
skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår
afgørelsen kan forventes at foreligge.
§ 32. Bestemmelserne i § 30 finder
tilsvarende anvendelse.
Stk. 2. Oplysninger, der behandles for den offentlige
forvaltning som led i administrativ sagsbehandling, kan undtages fra indsigtsretten
i samme omfang som efter reglerne i §§ 19-29 og 35 i lov om offentlighed
i forvaltningen.
Stk. 3. Der er ikke ret til indsigt i oplysninger,
der behandles for domstolene, hvis oplysningerne indgår i tekst, som ikke foreligger
i endelig form. Dette gælder dog ikke, hvis oplysningerne er videregivet til en
tredjemand. Der er ikke ret til indsigt i voteringsprotokoller og andre referater
af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for
rådslagningen.
Stk. 4. Bestemmelsen i § 31,
stk. 1, finder ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt
øjemed, eller hvor oplysningerne kun opbevares i form af personoplysninger i det
tidsrum, som kræves for at udarbejde statistikker.
Stk. 5. For behandling af oplysninger på det
strafferetlige område, der foretages for den offentlige forvaltning, kan justitsministeren
fastsætte undtagelser fra retten til at få oplysninger efter § 31, stk.
1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved
§ 30, må antages at medføre, at begæringer om ret til indsigt
i almindelighed må afslås.
§ 32, stk. 2 er ændret ved § 1.1 i
lov nr. 639 af 12.06.2013 fra d. 01.01.2014. I
§ 32, stk. 2, ændres »offentlighedslovens § 2 samt §§ 7-11 og 14« til: »§§
19-29 og 35 i lov om offentlighed i forvaltningen«.
§ 33. En registreret person, der har fået meddelelse
efter § 31, stk. 1, har ikke krav på ny meddelelse før 6 måneder
efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.
§ 34. Meddelelser i henhold til § 31,
stk. 1, skal på begæring gives skriftligt. I tilfælde, hvor hensynet til den
registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig underretning
om indholdet af oplysningerne.
Stk. 2. Justitsministeren kan fastsætte regler
om betaling for meddelelser, som gives skriftligt af private virksomheder m.v.
Kapitel 10
Øvrige rettigheder
§ 35. Den registrerede kan til enhver tid over for den
dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand
for behandling.
Stk. 2. Hvis indsigelsen efter
stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.
§ 36. Fremsætter en forbruger indsigelse herimod, må
en virksomhed ikke videregive oplysninger om den pågældende til en anden virksomhed
med henblik på markedsføring eller anvende oplysningerne på vegne af en anden virksomhed
i dette øjemed.
Stk. 2. Inden virksomheden videregiver oplysninger
om en forbruger til en anden virksomhed med henblik på markedsføring eller anvender
oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge
i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. Inden
oplysninger om en forbruger, der ikke i CPR har frabedt sig sådanne henvendelser,
videregives eller anvendes som nævnt i 1. pkt., skal virksomheden tydeligt og på
en forståelig måde oplyse om retten til at gøre indsigelse efter stk. 1. Forbrugeren
skal samtidig gives adgang til på en nem måde inden for to uger at gøre sådan indsigelse.
Oplysningerne må ikke videregives, inden fristen til at gøre indsigelse er udløbet.
Stk. 3. Henvendelse til forbrugeren efter stk.
2 skal i øvrigt ske i overensstemmelse med reglerne i
markedsføringslovens § 10 og regler udstedt i medfør af
markedsføringslovens § 10, stk. 7.
Stk. 4. Virksomheden kan ikke kræve betaling
for behandlingen af en indsigelse.
§ 36, stk. 3 er ændret ved § 2.4 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007. I
§ 36, stk. 3, ændres »markedsføringslovens § 6 a« til: »markedsføringslovens
§ 6« og »markedsføringslovens § 6 a, stk. 6« til: »markedsføringslovens § 6, stk.
7«.
§ 36, stk. 3 er ændret ved § 44.3 i
lov nr. 426 af 03.05.2017 fra d. 01.07.2017. I § 36, stk. 3, ændres »markedsføringslovens
§ 6« til: »markedsføringslovens § 10«, og »markedsføringslovens § 6, stk. 7« til:
»markedsføringslovens § 10, stk. 7«.
§ 37. Den dataansvarlige skal berigtige, slette eller
blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende
måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis
en registreret person fremsætter anmodning herom.
Stk. 2. Den dataansvarlige skal underrette den
tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger
er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret
person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser
sig umulig eller er uforholdsmæssigt vanskelig.
§ 38. Den registrerede kan tilbagekalde et samtykke.
§ 39. Fremsætter en registreret person indsigelse herimod,
kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser,
der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad,
og som alene er truffet på grundlag af elektronisk databehandling af oplysninger,
der er bestemt til at vurdere bestemte personlige forhold.
Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis
1) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af
en aftale, såfremt den registreredes anmodning om indgåelse eller opfyldelse af
aftalen er blevet efterkommet eller der findes passende foranstaltninger til at
beskytte den registreredes berettigede interesser eller
2) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til
beskyttelse af den registreredes berettigede interesser.
Stk. 3. Den registrerede har ret til hos den
dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler
der ligger bag en afgørelse som nævnt i stk. 1. § 30 finder
tilsvarende anvendelse.
§ 40. Den registrerede kan klage til vedkommende tilsynsmyndighed
over behandling af oplysninger vedrørende den pågældende.
Afsnit IV
Sikkerhed
Kapitel 11
Behandlingssikkerhed
§ 41. Personer, virksomheder m.v., der udfører arbejde
under den dataansvarlige eller databehandleren, og som får adgang til oplysninger,
må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger
af lov eller bestemmelser fastsat i henhold til lov.
Stk. 2. Den i stk. 1 nævnte instruks må ikke
begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af
et kunstnerisk eller litterært produkt.
Stk. 3. Den dataansvarlige skal træffe de fornødne
tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt
eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til
uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende
gælder for databehandlere.
Stk. 4. For oplysninger, som behandles for den
offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal
der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i
tilfælde af krig eller lignende forhold.
Stk. 5. Justitsministeren kan fastsætte nærmere
regler om de i stk. 3 anførte sikkerhedsforanstaltninger.
§ 42. Når en dataansvarlig overlader en behandling af
oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren
kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske
sikkerhedsforanstaltninger, og påse, at dette sker.
Stk. 2. Gennemførelse af en behandling ved en
databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen
skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige,
og at reglerne i § 41, stk. 3-5, ligeledes gælder for
behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat,
skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som
er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret,
gælder for denne.
Afsnit V
Anmeldelse
Kapitel 12
Anmeldelse af behandlinger, der foretages for den offentlige forvaltning
§ 43. Forinden iværksættelse af en behandling af oplysninger,
som foretages for den offentlige forvaltning, skal der af den dataansvarlige eller
dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog §
44. Den dataansvarlige kan bemyndige andre myndigheder eller private til
at foretage anmeldelse på dennes vegne.
Stk. 2. Anmeldelsen skal indeholde oplysninger
om følgende:
1) Navn og adresse på den dataansvarlige, dennes eventuelle repræsentant og på
en eventuel databehandler.
2) Behandlingens betegnelse og formål.
3) En generel beskrivelse af behandlingen.
4) En beskrivelse af kategorierne af registrerede og af de typer af oplysninger,
der vedrører dem.
5) Modtagere eller kategorier af modtagere, som oplysningerne kan overføres til.
6) Påtænkte overførsler af oplysninger til tredjelande.
7) En generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til
behandlingssikkerheden.
8) Tidspunktet for påbegyndelsen af behandlingen.
9) Tidspunktet for sletning af oplysningerne.
§ 44. Behandling, som ikke omfatter oplysninger af fortrolig
karakter, er undtaget fra reglerne i § 43, jf. dog stk. 2. En
sådan behandling kan uden anmeldelse endvidere omfatte identifikationsoplysninger,
herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed,
medmindre der er tale om en behandling som nævnt i § 45, stk. 1.
Stk. 2. Justitsministeren fastsætter nærmere
regler om de i stk. 1 nævnte behandlinger.
Stk. 3. Behandlinger, hvis eneste formål er
at føre et register, der i henhold til lov eller regler udstedt i medfør af lov
er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden,
er ligeledes undtaget fra reglerne i § 43.
Stk. 4. Justitsministeren kan fastsætte regler
om, at bestemte typer af behandlinger af oplysninger undtages fra bestemmelsen i
§ 43. Det gælder dog ikke behandlinger som nævnt i
§ 45, stk. 1.
§ 45. Forinden behandling, som er omfattet af anmeldelsespligten
i § 43, iværksættes, skal Datatilsynets udtalelse indhentes,
når
1) behandlingen omfatter oplysninger, der er omfattet af § 7, stk.
1, og § 8, stk. 1,
2) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer,
3) behandlingen udelukkende finder sted i videnskabeligt eller statistisk øjemed
eller
4) behandlingen omfatter sammenstilling eller samkøring af oplysninger i kontroløjemed.
Stk. 2. Justitsministeren kan fastsætte regler om, at tilsynets
udtalelse skal indhentes inden iværksættelsen af andre end de i stk. 1 nævnte behandlinger.
§ 46. Ændringer i de i § 43,
stk. 2, nævnte oplysninger skal forud for iværksættelsen anmeldes til tilsynet.
Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4
uger efter iværksættelsen.
Stk. 2. Forinden iværksættelse af ændringer
i de i § 43, stk. 2, nævnte oplysninger i anmeldelser
af behandlinger, som er omfattet af § 45, stk. 1 eller 2, skal
tilsynets udtalelse indhentes. Ændringer af mindre væsentlig betydning skal alene
anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.
§ 47. I tilfælde, hvor dataansvaret er henlagt til en
underordnet myndighed og tilsynet ikke kan tiltræde udførelsen af en behandling,
forelægges sagen for vedkommende minister, der træffer afgørelse i sagen.
Stk. 2. Kan tilsynet ikke tiltræde udførelsen
af en behandling, som foretages for en regional eller kommunal myndighed, forelægges
sagen for indenrigs- og sundhedsministeren, der træffer afgørelse i sagen.
§ 47, stk. 2 er ændret ved § 6.1 i
lov nr. 552 af 24.06.2005 fra d. 01.07.2007. Hidtidig formulering: Stk. 2. Kan tilsynet ikke tiltræde
udførelsen af en behandling, som foretages for en kommunal myndighed, forelægges
sagen for indenrigsministeren, der træffer afgørelse i sagen.
Kapitel 13
Anmeldelse af behandlinger, der foretages for en privat dataansvarlig
§ 48. Forinden iværksættelse af en behandling af oplysninger,
som foretages for en privat dataansvarlig, skal der af den dataansvarlige eller
dennes repræsentant foretages anmeldelse til Datatilsynet, jf. dog §
49.
Stk. 2. Anmeldelsen skal indeholde de oplysninger,
som fremgår af § 43, stk. 2.
§ 49. Behandling af oplysninger er, bortset fra de i
§ 50, stk. 2, angivne tilfælde, undtaget fra reglerne
i § 48, når
1) behandlingen omfatter oplysninger om ansatte, i det omfang behandlingen ikke
omfatter oplysninger som nævnt i § 7, stk. 1, og
§ 8, stk. 4,
2) behandlingen omfatter oplysninger om ansattes helbredsforhold, i det omfang
behandlingen af helbredsoplysningerne er nødvendig til opfyldelse af bestemmelser
i lov eller forskrifter fastsat i henhold til lov,
3) behandlingen omfatter oplysninger om ansatte, hvis registrering er nødvendig
som følge af kollektiv overenskomst eller kollektiv aftale på arbejdsmarkedet,
4) behandlingen omfatter oplysninger om kunder, leverandører eller andre forretningsforbindelser,
i det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7,
stk. 1, og § 8, stk. 4, eller i det omfang der
ikke er tale om behandlinger som omtalt i § 50, stk. 1, nr. 4,
5) behandlingen foretages med henblik på udførelsen af markedsundersøgelser, i
det omfang behandlingen ikke omfatter oplysninger som nævnt i § 7, stk.
1, og § 8, stk. 4,
6) behandlingen foretages af en forening eller lignende, i det omfang der alene
behandles oplysninger om foreningens medlemmer,
7) behandlingen foretages af advokater eller revisorer som led i deres virksomhed,
i det omfang der alene behandles oplysninger vedrørende klientforhold,
8) behandlingen foretages af læger, sygeplejersker, tandlæger, kliniske tandteknikere,
apotekere, terapiassistenter, kiropraktorer og lignende personer med autorisation
til at udøve virksomhed inden for sundheds- og sygeplejen, i det omfang oplysningerne
alene anvendes til brug ved denne virksomhed og behandlingen af oplysningerne ikke
sker for et privat sygehus, eller
9) behandlingen foretages til brug ved en bedriftssundhedstjeneste.
Stk. 2. Justitsministeren fastsætter nærmere
regler om de i stk. 1 nævnte behandlinger.
Stk. 3. Justitsministeren kan fastsætte regler
om, at andre typer af behandlinger undtages fra bestemmelsen i § 48.
Det gælder dog ikke behandlinger, der er omfattet af § 50, stk. 1,
medmindre behandlingerne undtages efter § 50, stk. 3.
§ 50. Forinden iværksættelse af en behandling, som er
omfattet af anmeldelsespligten i § 48, skal Datatilsynets tilladelse
indhentes, når
1) behandlingen omfatter oplysninger som nævnt i § 7, stk. 1,
og § 8, stk. 4,
2) behandlingen af oplysningerne sker med henblik på at advare andre mod forretningsforbindelser
med eller ansættelsesforhold til en registreret,
3) behandlingen sker med henblik på erhvervsmæssig videregivelse af oplysninger
til bedømmelse af økonomisk soliditet og kreditværdighed,
4) behandlingen sker med henblik på erhvervsmæssig bistand ved stillingsbesættelse
eller
5) behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer.
Stk. 2. Ved overførsel af oplysninger som nævnt
i stk. 1 til tredjelande i medfør af § 27, stk. 1, og
stk. 3, nr. 2-4, skal Datatilsynets tilladelse indhentes til overførslen,
uanset at behandlingen i øvrigt er undtaget fra anmeldelse i medfør af
§ 49, stk. 1.
Stk. 3. Justitsministeren kan fastsætte undtagelser
fra bestemmelserne i stk. 1, nr. 1, og stk. 2.
Stk. 4. Justitsministeren kan fastsætte regler
om, at der forinden iværksættelse af andre anmeldelsespligtige behandlinger end
de i stk. 1 eller 2 nævnte skal indhentes tilladelse fra tilsynet.
Stk. 5. Tilsynet kan i forbindelse med meddelelse
af tilladelse efter stk. 1, 2 eller 4 fastsætte nærmere vilkår for udførelsen af
behandlingerne til beskyttelse af de registreredes privatliv.
§ 51. Ændringer i de i § 48,
stk. 2, jf. § 43, stk. 2, nævnte oplysninger skal
forud for iværksættelsen anmeldes til tilsynet. Ændringer af mindre væsentlig betydning
kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.
Stk. 2. Forinden iværksættelse af ændringer
i de i § 48, stk. 2, jf. § 43, stk.
2, nævnte oplysninger i anmeldelser af behandlinger, som er omfattet af
§ 50, stk. 1, 2 eller 4, skal Datatilsynets tilladelse indhentes.
Ændringer af mindre væsentlig betydning skal alene anmeldes. Anmeldelse kan ske
efterfølgende, dog senest 4 uger efter iværksættelsen.
Kapitel 14
Anmeldelse af behandlinger, der foretages for domstolene
§ 52. Reglerne i §§ 43-46
gælder for anmeldelse til Domstolsstyrelsen af behandling af oplysninger, der foretages
for domstolene.
Kapitel 15
Øvrige bestemmelser
§ 53. Databehandlere, der er etableret i Danmark, og
som udøver edb-servicevirksomhed, skal forinden påbegyndelsen af behandlingen foretage
anmeldelse til Datatilsynet.
§ 54. Tilsynsmyndigheden skal føre en fortegnelse over
de behandlinger, der er anmeldt efter §§ 43, 48
og 52. Fortegnelsen, som mindst skal indeholde de oplysninger,
som er anført i § 43, stk. 2, skal være tilgængelig
for offentligheden.
Stk. 2. En dataansvarlig skal stille de i § 43, stk. 2, nr. 1, 2 og 4-6, nævnte oplysninger om alle
de behandlinger, som udføres for vedkommende, til rådighed for enhver, som anmoder
derom.
Stk. 3. Offentlighedens adgang til indsigt i
den fortegnelse, der er nævnt i stk. 1, og de oplysninger, der er nævnt i stk. 2,
kan begrænses, i det omfang det er nødvendigt til forebyggelse, opklaring og forfølgning
af lovovertrædelser eller afgørende hensyn til private interesser gør det påkrævet.
Afsnit VI
Tilsyn og afsluttende bestemmelser
Kapitel 16
Datatilsynet
§ 55. Datatilsynet, der består af et råd og et sekretariat,
fører tilsyn med enhver behandling, der omfattes af loven, jf. dog
kapitel 17.
Stk. 2. Tilsynets daglige forretninger varetages
af sekretariatet, der ledes af en direktør.
Stk. 3. Rådet, der nedsættes af justitsministeren,
består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udnævnes stedfortrædere
for medlemmerne. Medlemmerne og stedfortræderne for disse udnævnes for 4 år.
Stk. 4. Rådet fastsætter sin forretningsorden
og de nærmere regler om arbejdets fordeling mellem råd og sekretariat.
§ 56. Datatilsynet udøver sine funktioner i fuld uafhængighed.
§ 57. Ved udarbejdelse af bekendtgørelser, cirkulærer
eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af
privatlivet i forbindelse med behandling af oplysninger, skal der indhentes en udtalelse
fra Datatilsynet.
§ 58. Datatilsynet påser af egen drift eller efter klage
fra en registreret, at behandlingen finder sted i overensstemmelse med loven og
regler udstedt i medfør af loven.
Stk. 2. Tilsynet kan til enhver tid tilbagekalde
en afgørelse truffet i henhold til § 27, stk. 4, eller
§ 50, stk. 2, jf. § 27, stk. 1, eller stk.
3, nr. 2-4, såfremt Europa-Kommissionen træffer afgørelse om, at der ikke
må ske overførsel af oplysninger til bestemte tredjelande, eller om, at der lovligt
kan ske en sådan overførsel. Dette gælder dog kun, såfremt tilbagekaldelsen er nødvendig
for at efterleve Kommissionens afgørelse.
Stk. 3. Tilsynsmyndigheden kan i særlige tilfælde
forbyde eller suspendere overførsel af personoplysninger, som er omfattet af
§ 27, stk. 5.
§ 58, stk. 3 er indsat ved § 1.3 i
lov nr. 1245 af 18.12.2012 fra d. 01.01.2013.
§ 59. Datatilsynet kan påbyde en privat dataansvarlig
at ophøre med en behandling, der ikke må finde sted efter denne lov, og at berigtige,
slette eller blokere bestemte oplysninger, som er omfattet af en sådan behandling.
Stk. 2. Tilsynet kan forbyde en privat dataansvarlig
at anvende en nærmere angiven fremgangsmåde i forbindelse med behandlingen af oplysninger,
hvis tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko
for, at der behandles oplysninger i strid med loven.
Stk. 3. Tilsynet kan påbyde en privat dataansvarlig
at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at
der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller
ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes
kendskab, misbruges eller i øvrigt behandles i strid med loven.
Stk. 4. Tilsynet kan i særlige tilfælde meddele
databehandlere påbud eller forbud, jf. stk. 1-3.
§ 60. Datatilsynet træffer over for vedkommende myndighed
afgørelse i sager vedrørende § 7, stk. 7,
§ 9, stk. 3, § 10, stk. 3, § 13, stk.
1, § 27, stk. 4, §§ 28-31,
§ 32, stk. 1, 2 og 4, §§ 33-37,
§ 39 samt § 58, stk. 2.
Stk. 2. I andre tilfælde afgiver tilsynet udtalelser
over for den dataansvarlige myndighed.
§ 61. Datatilsynets afgørelser efter denne lov
kan ikke indbringes for anden administrativ myndighed.
§ 62. Datatilsynet kan kræve enhver oplysning, der er
af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder
ind under lovens bestemmelser.
Stk. 2. Tilsynets medlemmer og personale har
til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler,
hvorfra en behandling, som foretages for den offentlige forvaltning, administreres,
eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler,
hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes.
Stk. 3. Bestemmelsen i stk. 2 gælder tilsvarende
for behandlinger, som foretages for private dataansvarlige, i det omfang behandlingen
er omfattet af § 50 eller foretages i forbindelse med tv-overvågning.
Stk. 4. Bestemmelsen i stk. 2 gælder også, for
så vidt angår den behandling, der udføres af databehandlere som nævnt i
§ 53.
§ 62, stk. 3 er ændret ved § 2.5 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007. I
§ 62, stk. 3, indsættes efter »§ 50«: »eller foretages i forbindelse
med tv-overvågning«.
§ 63. Datatilsynet kan bestemme, at anmeldelser og ansøgninger
om tilladelse efter denne lov og ændringer heri kan eller skal indgives på nærmere
angiven måde.
Stk. 2. For indgivelse af følgende anmeldelser
og ansøgninger om tilladelser i henhold til denne lov betales 2.000 kr.:
1) Anmeldelse i henhold til § 48.
2) Tilladelse i henhold til § 50.
3) Anmeldelse i henhold til § 53.
Stk. 3. En anmeldelse som nævnt i stk. 2, nr.
1 og 3, anses først for indgivet, når betaling er sket. Datatilsynet kan bestemme,
at en tilladelse som nævnt i stk. 2, nr. 2, ikke meddeles, før betaling er sket.
Stk. 4. Bestemmelserne i stk. 2, nr. 1 og 2,
gælder ikke for behandlinger, der udelukkende finder sted i videnskabeligt eller
statistisk øjemed.
Stk. 5. Såfremt en behandling både skal anmeldes
efter § 48 og tillades efter § 50, betales
kun ét gebyr.
§ 63, stk. 2 er ændret ved § 1.4 i lov nr. 1245 af
18.12.2012 fra d. 01.01.2013 og finder anvendelse for anmeldelser og ansøgninger
om tilladelser, der er kommet frem til Datatilsynet den 1. januar 2013 eller senere.
I
§ 63, stk. 2, ændres »1.000 kr.« til: »2.000 kr.«
§ 64. Datatilsynet kan af egen drift eller efter anmodning
fra en anden medlemsstat påse, at en behandling af oplysninger, som finder sted
i Danmark, er lovlig, uanset at den pågældende behandling er undergivet en anden
medlemsstats lovgivning. Bestemmelserne i §§ 59 og
62 finder tilsvarende anvendelse.
Stk. 2. Datatilsynet kan videregive oplysninger
til tilsynsmyndigheder i andre medlemsstater i det omfang, det er nødvendigt for
at påse overholdelsen af bestemmelserne i denne lov eller af den pågældende medlemsstats
databeskyttelseslovgivning.
§ 65. Datatilsynet afgiver en årlig beretning om sin
virksomhed til Folketinget. Beretningen offentliggøres. Tilsynet kan i øvrigt offentliggøre
sine udtalelser. Bestemmelsen i § 30 finder tilsvarende anvendelse.
§ 66. Datatilsynet og Domstolsstyrelsen samarbejder,
i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle
alle relevante oplysninger.
Kapitel 17
Tilsyn med domstolene
§ 67. Domstolsstyrelsen fører tilsyn med behandling
af oplysninger, der foretages for domstolene.
Stk. 2. Tilsynet omfatter behandling af oplysninger
med hensyn til domstolenes administrative forhold.
Stk. 3. For anden behandling af oplysninger
træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige
domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den i 1. pkt.
nævnte afgørelse kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen
er 4 uger fra den dag, afgørelsen er meddelt den pågældende.
§ 68. For Domstolsstyrelsens udøvelse af tilsyn i henhold
til § 67 gælder bestemmelserne i §§ 56 og
58, § 62, stk. 1, 2 og 4, §
63, stk. 1, og § 66. Domstolsstyrelsens afgørelser er
endelige.
Stk. 2. Ved udarbejdelse af bekendtgørelser
eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af
privatlivet i forbindelse med behandling af oplysninger, der foretages for domstolene,
skal der indhentes en udtalelse fra Domstolsstyrelsen.
Stk. 3. Domstolsstyrelsen offentliggør en årlig
beretning om dens virksomhed.
Kapitel 18
Erstatnings- og strafansvar
§ 69. Den dataansvarlige skal erstatte skade, der er
forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres,
at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves
i forbindelse med behandling af oplysninger.
§ 70. Medmindre højere straf er forskyldt efter den
øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder den, der i forbindelse
med en behandling, som udføres for private,
1) overtræder § 4, stk. 5, §
5, stk. 2-5, § 6, § 7, stk. 1,
§ 8, stk. 4, 5 og 7, § 9, stk. 2,
§ 10, stk. 2 og 3, 1. pkt., § 11, stk. 2 og 3,
§ 12, stk. 1 og stk. 2, 1. pkt., § 13, stk. 1, 1.
pkt., §§ 20-25, § 26, stk.
1, stk. 2, 2. pkt., og stk. 3, § 26 a, § 27,
stk. 1, § 28, stk. 1, § 29, stk. 1,
§ 31, §§ 33 og 34, § 35, stk. 2, §§ 36 og
37, § 39, stk. 1 og 3, § 41, stk. 1 og 3,
§ 42, § 48, § 50, stk. 1 og
2, § 51, § 53 eller
§ 54, stk. 2,
2) undlader at efterkomme Datatilsynets afgørelse efter § 5, stk.
1, § 7, stk. 7, § 13, stk. 1, 2. pkt.,
§ 26, stk. 2, 1. pkt., § 27, stk.
4, §§ 28 og 29, § 63, stk. 2, ændres
»1.000 kr.« til: »2.000 kr.«a I § 63, stk. 2, ændres »1.000 kr.« til: »2.000 kr.« § 30, stk. 1, § 31, § 32, stk.
1 og 4, §§ 33-37, § 39,
§ 50, stk. 2, eller § 58, stk. 2,
3) undlader at efterkomme Datatilsynets krav efter § 62, stk.
1,
4) hindrer Datatilsynet i at få adgang efter § 62, stk.
3 og 4,
5) tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4,
§ 50, stk. 5, eller en betingelse eller et vilkår for en tilladelse
i henhold til regler udstedt i medfør af loven eller
6) undlader at efterkomme forbud eller påbud, der er meddelt i henhold til § 59 eller i henhold til regler udstedt i medfør af loven.
Stk. 2. Medmindre højere straf er forskyldt
efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder den,
der i forbindelse med en behandling, som udføres for offentlige myndigheder, overtræder
§ 41, stk. 3, eller § 53 eller tilsidesætter
vilkår som nævnt i § 7, stk. 7, §
9, stk. 3, § 10, stk. 3, § 13, stk.
1, § 27, stk. 4, eller en betingelse eller
et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven.
Stk. 3. Medmindre højere straf er forskyldt
efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder den,
der i forbindelse med en behandling, som er undergivet en anden medlemsstats lovgivning,
undlader at efterkomme Datatilsynets afgørelser efter § 59 eller
at opfylde Datatilsynets krav efter § 62, stk. 1, eller hindrer
Datatilsynet i at få adgang efter § 62, stk. 3 og 4.
Stk. 4. I regler, der udstedes i medfør af loven,
kan der fastsættes straf af bøde eller fængsel indtil 4 måneder.
Stk. 5. Der kan pålægges selskaber m.v. (juridiske
personer) strafansvar efter reglerne i straffelovens
5. kapitel.
§ 70, stk. 1-4 er ændret ved § 7.1 i
lov nr. 280 af 25.04.2001 fra d. 01.07.2001. I § 70, stk. 1-4, ændres
»hæfte« til: »fængsel indtil 4 måneder«.
§ 70, stk. 1, nr. 1 er ændret ved § 2.6 i
lov nr. 519 af 06.06.2007 fra d. 01.07.2007. I
§ 70, stk. 1, nr. 1, indsættes efter »§ 26, stk. 1, stk. 2, 2. pkt.,
og stk. 3,«: »§ 26 a,«.
§ 71. Den, der driver eller er beskæftiget med virksomhed
som nævnt i § 50, stk. 1, nr. 2-5, eller § 53,
kan ved dom for strafbart forhold frakendes retten hertil, såfremt det udviste forhold
begrunder en nærliggende fare for misbrug. I øvrigt finder
straffelovens § 79, stk. 3 og 4, anvendelse.
Kapitel 19
Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v.
§ 72. Vedkommende minister kan i særlige tilfælde fastsætte
nærmere regler for behandlinger, som udføres for den offentlige forvaltning.
§ 72 a. Justitsministeren
kan fastsætte nærmere regler om beskyttelse af personoplysninger i forbindelse med
politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske
Union m.v.
§ 72 a er indsat ved § 1.1 i
lov nr. 188 af 18.03.2009 fra d. 01.04.2009.
§ 73. Justitsministeren kan fastsætte nærmere regler
for bestemte typer af behandlinger, som udføres for private dataansvarlige, herunder
at bestemte typer oplysninger ikke må behandles.
§ 74. Brancheforeninger eller andre organer, som repræsenterer
andre kategorier af private dataansvarlige, kan i samarbejde med Datatilsynet udarbejde
adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i denne
lov.
§ 75. Justitsministeren kan fastsætte regler, som er
nødvendige for at gennemføre de af Det Europæiske Fællesskab udstedte beslutninger,
som træffes med henblik på gennemførelse af direktivet om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger, eller regler, som er nødvendige for at anvende de af Fællesskabet
udstedte retsakter på direktivets område.
§ 76. Loven træder i kraft den 1. juli 2000.
Stk. 2. Lov om offentlige myndigheders registre,
jf. lovbekendtgørelse nr. 654 af 20. september 1991, og lov om private registre
m.v., jf. lovbekendtgørelse nr. 622 af 2. oktober 1987, ophæves.
Stk. 3. Registerrådets medlemmer indtræder som
medlemmer af Datarådet, indtil justitsministeren har udnævnt Datarådets medlemmer.
Stk. 4. Bekendtgørelse nr. 160 af 20. april
1979 om forretningsorden for registerrådet m.v. gælder for Datatilsynets virksomhed,
indtil den ophæves eller erstattes af regler udstedt i medfør af denne lov.
Stk. 5. Anordning nr. 73 af 5. marts 1979 om,
at forskrifter for registre m.v., der udfærdiges i medfør af loven om offentlige
myndigheders registre, ikke indføres i Lovtidende, ophæves.
Stk. 6. Klage- eller tilsynssager, der er oprettet
før den 24. oktober 1998, færdigbehandles efter de hidtil gældende regler. Datatilsynet
udøver den kompetence, som efter disse regler tilkommer Registertilsynet.
Stk. 7. Datatilsynet udfører i øvrigt de opgaver,
som efter lovgivningen udføres af Registertilsynet.
§ 77. For behandlinger, der foretages for private, og
som er iværksat før den 24. oktober 1998, skal reglerne i kapitel
13 være opfyldt senest den 1. oktober 2000.
Stk. 2. For behandlinger, der foretages for
offentlige myndigheder, og som er iværksat før den 24. oktober 1998, skal reglerne
i kapitel 12 og 14 være opfyldt
senest den 1. april 2001.
Stk. 3. Behandlinger, der er iværksat før den
24. oktober 1998, kan fortsætte uden tilladelse i 16 uger efter lovens ikrafttræden,
hvis der skal indhentes tilladelse hertil efter reglerne i lovens afsnit II eller
bestemmelsen i stk. 7.
Stk. 4. Behandlinger, der er iværksat den 24.
oktober 1998 eller senere, men inden lovens ikrafttræden, kan fortsætte uden forudgående
anmeldelse, udtalelse eller tilladelse i 16 uger efter lovens ikrafttræden.
Stk. 5. Der skal senest 16 uger efter lovens
ikrafttræden foretages anmeldelse efter bestemmelsen i § 53.
Stk. 6. Justitsministeren kan fastsætte regler
om, at den i stk. 1 og 2 nævnte frist forlænges.
Stk. 7. Tilsynsmyndigheden kan i ganske særlige
tilfælde efter ansøgning bestemme, at behandlinger, der er iværksat før lovens ikrafttræden,
kan fortsætte uanset behandlingsreglerne i afsnit II.
§ 78. Behandlinger, som før lovens ikrafttræden er anmeldt
efter § 2, stk. 3, 2. pkt., i lov om private registre m.v., kan fortsætte efter
de hidtil gældende regler indtil den 1. oktober 2001. Datatilsynet udøver den kompetence,
som efter disse regler tilkommer Registertilsynet.
Stk. 2. Behandlinger som nævnt i stk. 1 skal
overholde lovens § 5 og §§ 41 og
42. For disse behandlinger kan den registrerede kræve berigtigelse, sletning
eller blokering af oplysninger, der er urigtige eller vildledende, eller som opbevares
på en måde, der er uforenelig med de legitime formål, som den dataansvarlige forfølger.
Datatilsynet fører tilsyn efter reglerne i lovens kapitel 16.
§ 79. Et samtykke, som er givet i overensstemmelse med
de hidtil gældende regler, gælder for behandlinger, der foretages efter lovens ikrafttræden,
såfremt samtykket opfylder kravene i denne lovs § 3, nr. 8, sammenholdt
med § 6, nr. 1, § 7, stk. 2, nr. 1,
§ 8, stk. 2-5, § 11, stk. 2, nr.
2, eller stk. 3, eller § 27, stk. 3, nr. 1.
§ 80. I lov nr. 572
af 19. december 1985 om offentlighed i forvaltningen, som senest ændret ved
lov nr. 276 af 13. maj 1998, foretages følgende ændring:
1.
§ 5, stk. 3, affattes
således:
»Stk. 3.
Vedkommende minister kan fastsætte regler om offentlighedens adgang til at
blive gjort bekendt med fortegnelser som nævnt i stk. 2, der ikke er omfattet af
lov om behandling af personoplysninger. Der kan herunder fastsættes regler om betaling.«
§ 81. I lov nr. 430 af 1. juni 1994 om massemediers
informationsdatabaser foretages følgende ændringer:
1.
I § 3, stk. 1 og 3, og § 6, stk. 1, ændres »Registertilsynet«
til: »Datatilsynet«.
2.
Som ny § 11 a indsættes følgende bestemmelse:
Ȥ 11 a.
Der skal træffes de fornødne sikkerhedsforanstaltninger mod, at informationer
i offentligt tilgængelige informationsdatabaser ændres af uvedkommende.«
3.
§ 16, stk. 1, nr. 1, affattes på følgende måde:
»1) overtræder § 4, § 5, § 7, § 8, stk. 1, § 9, nr. 2 og 3, § 11, stk. 1 og 3,
eller § 11 a.«
4.
§ 17 affattes således:
Ȥ 17.
Et massemedie skal erstatte skade, der er forvoldt ved behandling i strid
med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have
været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling
af oplysninger. Lovgivningens almindelige erstatningsregler finder i øvrigt anvendelse.
Stk. 2.
Lovgivningens almindelige regler om straf finder anvendelse på sager omfattet
af denne lov.
Stk. 3.
Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne
i straffelovens 5. kapitel.«
§ 82. I tinglysningsloven,
jf. lovbekendtgørelse nr. 622 af 15. september 1986, som senest ændret ved § 2 i
lov nr. 1019 af 23. december 1998, foretages følgende ændringer:
1.
I § 50 d, stk. 1, indsættes
i stedet for »Registertilsynet«: »Domstolsstyrelsen«.
2.
§ 50 d, stk. 2 og 3,
affattes således:
»Stk. 2.
Domstolsstyrelsen fører tilsyn med tinglysningsregistrene. Domstolsstyrelsens
afgørelser er endelige.
Stk. 3. Justitsministeren fastsætter nærmere regler om dette tilsyn efter
forhandling med Domstolsstyrelsen.«
§ 83. Loven gælder ikke for Færøerne, men kan ved kongelig
anordning sættes i kraft for rigsmyndighedernes behandling af oplysninger med de
afvigelser, som de særlige færøske forhold tilsiger. Loven gælder heller ikke for
Grønland, men kan ved kongelig anordning sættes i kraft med de afvigelser, som de
særlige grønlandske forhold tilsiger.
Givet på Christiansborg Slot, den 31. maj 2000
Under Vor Kongelige Hånd og Segl
Margrethe R.
/Frank Jensen
1) Loven gennemfører Europa-Parlamentets
og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger (EF-Tidende 1995 L 281, side 31 ff.).