Lov om behandling af personoplysninger

Uautoriseret udgave.
Lov om behandling af personoplysninger
§ 1. Loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Stk. 2. Loven gælder tillige for anden ikke- elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 og 9.

Stk. 3. Loven gælder endvidere for behandling af oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling udføres for kreditoplysningsbureauer. Tilsvarende gælder for så vidt angår behandlinger, som er omfattet af § 50, stk. 1, nr. 2.

Stk. 4. Kapitel 5 gælder også for behandling af oplysninger om virksomheder m.v. , jf. stk. 1.

Stk. 5. Uden for de i stk. 3 nævnte tilfælde kan justitsministeren bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for private.

Stk. 6. Uden for de i stk. 4 nævnte tilfælde kan vedkommende minister bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for den offentlige forvaltning.

Behandlingsregler
§ 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Stk. 4. Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

§ 6. Behandling af oplysninger må kun finde sted, hvis

1) den registrerede har givet sit udtrykkelige samtykke hertil,

2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale,

3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige,

4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser,

5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,

6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller

7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.

Stk. 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 a.

Stk. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, nr. 7, er opfyldt.

Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i §§ 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3.

§ 7. Der må ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.

Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis

1) den registrerede har givet sit udtrykkelige samtykke til en sådan behandling,

2) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke,

3) behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede, eller

4) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

Stk. 3. Behandling af oplysninger om fagforeningsmæssige tilhørsforhold kan endvidere ske, hvis behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder.

Stk. 4. En stiftelse, en forening eller en anden almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, kan inden for rammerne af sin virksomhed foretage behandling af de i stk. 1 nævnte oplysninger om organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne. Videregivelse af sådanne oplysninger kan dog kun finde sted, hvis den registrerede har meddelt sit udtrykkelige samtykke hertil eller behandlingen er omfattet af stk. 2, nr. 2-4, eller stk. 3.

Stk. 5. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.

Stk. 6. Behandling af de i stk. 1 anførte oplysninger kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område.

Stk. 7. Undtagelse fra bestemmelsen i stk. 1 kan endvidere gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes nærmere vilkår for behandlingen. Hvor tilladelse meddeles, giver tilsynsmyndigheden underretning herom til Europa-Kommissionen.

Stk. 8. For den offentlige forvaltning må der ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige.

Registreredes rettigheder
§ 28. Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Kategorierne af modtagere.
b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger.

§ 29. Hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Hvilken type oplysninger det drejer sig om.
b) Kategorierne af modtagere.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov.

Stk. 3. Bestemmelsen i stk. 1 gælder heller ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 30. Bestemmelserne i § 28, stk. 1, og § 29, stk. 1, gælder ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Stk. 2. Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv,

5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og

6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder.

Den registreredes indsigtsret
§ 31. Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om,

1) hvilke oplysninger der behandles,

2) behandlingens formål,

3) kategorierne af modtagere af oplysningerne og

4) tilgængelig information om, hvorfra disse oplysninger stammer.

Stk. 2. Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge.

§ 33. En registreret person, der har fået meddelelse efter § 31, stk. 1, har ikke krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

§ 34. Meddelelser i henhold til § 31, stk. 1, skal på begæring gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig underretning om indholdet af oplysningerne.

Stk. 2. Justitsministeren kan fastsætte regler om betaling for meddelelser, som gives skriftligt af private virksomheder m.v.

Øvrige rettigheder
§ 35. Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.
Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.

§ 37. Den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

Stk. 2. Den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 38. Den registrerede kan tilbagekalde et samtykke.

§ 39. Fremsætter en registreret person indsigelse herimod, kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis

1) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en aftale, såfremt den registreredes anmodning om indgåelse eller opfyldelse af aftalen er blevet efterkommet eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser eller

2) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser.

Stk. 3. Den registrerede har ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en afgørelse som nævnt i stk. 1. § 30 finder tilsvarende anvendelse.

§ 40. Den registrerede kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den pågældende.

Sikkerhed
§ 41. Personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, må kun behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.

Stk. 2. Den i stk. 1 nævnte instruks må ikke begrænse den journalistiske frihed eller være til hinder for tilvejebringelsen af et kunstnerisk eller litterært produkt.

Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger.

§ 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

Erstatnings- og strafansvar
§ 69. Den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

§ 70. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som udføres for private,

1) overtræder § 4, stk. 5, § 5, stk. 2-5, § 6, § 7, stk. 1, § 8, stk. 4, 5 og 7, § 9, stk. 2, § 10, stk. 2 og 3, 1. pkt., § 11, stk. 2 og 3, § 12, stk. 1 og stk. 2, 1. pkt., § 13, stk. 1, 1. pkt., §§ 20-25, § 26, stk. 1, stk. 2, 2. pkt., og stk. 3, § 27, stk. 1, § 28, stk. 1, § 29, stk. 1, § 31, §§ 33 og 34, § 35, stk. 2, §§ 36 og 37, § 39, stk. 1 og 3, § 41, stk. 1 og 3, § 42, § 48, § 50, stk. 1 og 2, § 51, § 53 eller § 54, stk. 2,

2) undlader at efterkomme Datatilsynets afgørelse efter § 5, stk. 1, § 7, stk. 7, § 13, stk. 1, 2. pkt., § 26, stk. 2, 1. pkt., § 27, stk. 4, §§ 28 og 29, § 30, stk. 1, § 31, § 32, stk. 1 og 4, §§ 33-37, § 39, § 50, stk. 2, eller § 58, stk. 2,

3) undlader at efterkomme Datatilsynets krav efter § 62, stk. 1,

4) hindrer Datatilsynet i at få adgang efter § 62, stk. 3 og 4,

5) tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, § 50, stk. 5, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven eller

6) undlader at efterkomme forbud eller påbud, der er meddelt i henhold til § 59 eller i henhold til regler udstedt i medfør af loven.

Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som udføres for offentlige myndigheder, overtræder § 41, stk. 3, eller § 53 eller tilsidesætter vilkår som nævnt i § 7, stk. 7, § 9, stk. 3, § 10, stk. 3, § 13, stk. 1, § 27, stk. 4, eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven.

Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som er undergivet en anden medlemsstats lovgivning, undlader at efterkomme Datatilsynets afgørelser efter § 59 eller at opfylde Datatilsynets krav efter § 62, stk. 1, eller hindrer Datatilsynet i at få adgang efter § 62, stk. 3 og 4.

Stk. 4. I regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller hæfte.

Stk. 5. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

§ 71. Den, der driver eller er beskæftiget med virksomhed som nævnt i § 50, stk. 1, nr. 2-5, eller § 53, kan ved dom for strafbart forhold frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for misbrug. I øvrigt finder straffelovens § 79, stk. 3 og 4, anvendelse.