Databeskyttelsesloven Afsnit II

Denne konsoliderede version af databeskyttelsesloven er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)

Lov nr. 502 af 23. maj 2018,
jf. lovbekendtgørelse nr. 289 af 08. marts 2024

Kapitel 3 1 Behandling af oplysninger
§ 5

Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.

Stk. 2 For at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, jf. stk. 1, tager den dataansvarlige efter databeskyttelsesforordningens artikel 6, stk. 4, bl.a. hensyn til

  • 1) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling,

  • 2) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige,

  • 3) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10,

  • 4) den påtænkte viderebehandlings mulige konsekvenser for de registrerede og

  • 5) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.

Stk. 3 Uanset stk. 1 og 2 kan vedkommende minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed. 1. pkt. finder ikke anvendelse på behandling af oplysninger i medfør af § 10. For så vidt angår helbredsoplysninger og genetiske data nævnt i databeskyttelsesforordningens artikel 9, stk. 1, som er indsamlet i medfør af denne lovs § 7, stk. 3, eller i medfør af sundhedslovgivningen, finder 1. pkt. alene anvendelse, i det omfang formålet med den videre anvendelse af disse oplysninger er foreneligt med det formål, som disse personoplysninger oprindelig blev indsamlet til.

§ 6

Behandling af personoplysninger må finde sted, hvis mindst en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f, er opfyldt.

Stk. 2 Finder databeskyttelsesforordningens artikel 6, stk. 1, litra a, anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 15 år.

Stk. 3 Er barnet under 15 år, er behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

§ 7

Forbuddet mod behandling af følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, gælder ikke i tilfælde, hvor betingelserne for behandling af personoplysninger i databeskyttelsesforordningens artikel 9, stk. 2, litra a, c, d, e eller f, er opfyldt.

Stk. 2 Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser og specifikke rettigheder, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra b.

Stk. 3 Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra h.

Stk. 4 Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig af hensyn til væsentlige samfundsinteresser, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra g. Tilsynsmyndigheden giver tilladelse hertil, hvis behandlingen efter 1. pkt. ikke foretages for en offentlig myndighed. Der kan i en tilladelse efter 2. pkt. fastsættes nærmere vilkår for behandlingen.

Stk. 5 Uden for de i stk. 1-4 nævnte tilfælde kan vedkommende minister efter forhandling med justitsministeren og inden for databeskyttelsesforordningens rammer fastsætte nærmere regler om behandling af personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1.

§ 8

For den offentlige forvaltning må der ikke behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver.

Stk. 2 De oplysninger, der er nævnt i stk. 1, må ikke videregives. Videregivelse kan dog ske, hvis

  • 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen,

  • 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,

  • 3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller

  • 4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Stk. 3 Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.

Stk. 4 De oplysninger, der er nævnt i stk. 3, må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Stk. 5 Behandling af oplysninger i de tilfælde, der er reguleret i stk. 1-4, kan i øvrigt finde sted, hvis betingelserne i § 7 er opfyldt.

§ 9

Oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 må behandles, hvis dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne.

Stk. 2 Oplysninger omfattet af stk. 1 må ikke senere behandles i andet øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages med henblik på at føre retsinformationssystemer efter forordningens artikel 6.

Stk. 3 Tilsynsmyndigheden kan meddele nærmere vilkår for de behandlinger, der er nævnt i stk. 1. Tilsvarende gælder for de oplysninger, der er nævnt i forordningens artikel 6, og som alene behandles i forbindelse med førelsen af retsinformationssystemer.

§ 10

Oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.

Stk. 2 De oplysninger, der er omfattet af stk. 1, må ikke senere behandles i andet end videnskabeligt eller statistisk øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed efter databeskyttelsesforordningens artikel 6.

Stk. 3 Videregivelse af oplysninger omfattet af stk. 1 og 2 til tredjemand kræver forudgående tilladelse fra tilsynsmyndigheden, når videregivelsen

  • 1) sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde, jf. databeskyttelsesforordningens artikel 3,

  • 2) vedrører biologisk materiale eller

  • 3) sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign.

Stk. 4 Tilsynsmyndigheden kan fastsætte generelle vilkår for videregivelse af oplysninger omfattet af stk. 1 og 2, herunder for videregivelse, der ikke kræver tilladelse efter stk. 3. Tilsynsmyndigheden kan endvidere fastsætte nærmere vilkår for videregivelse af oplysninger efter stk. 3.

Stk. 5 Sundhedsministeren kan efter forhandling med justitsministeren uanset stk. 2 fastsætte regler om, at oplysninger omfattet af stk. 1 og 2, som er behandlet med henblik på at udføre sundhedsfaglige statistiske og videnskabelige undersøgelser, senere kan behandles i andet end statistisk eller videnskabeligt øjemed, hvis behandlingen er nødvendig af hensyn til varetagelse af den registreredes vitale interesser. Bekendtgørelse om videregivelse af personoplysninger fra Register for udvalgte kroniske sygdomme og svære psykiske lidelser (RUKS) til Statens Serum Institut med henblik på instituttets varetagelse af sine myndighedsopgaver i forbindelse med information til den registrerede om tilbud og påmindelse om vaccination mod Coronavirussygdom (COVID-19)

§ 11

Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2 Private må behandle oplysninger om personnummer, når

  • 1) det følger af lovgivningen,

  • 2) den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,

  • 3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller

  • 4) betingelserne i § 7 er opfyldt.

Stk. 3 Uanset bestemmelsen i stk. 2, nr. 3, må personnummer ikke offentliggøres, medmindre der er givet samtykke i overensstemmelse med databeskyttelsesforordningens artikel 7.

§ 12

Behandling af personoplysninger i forbindelse med ansættelsesforhold omfattet af artikel 6, stk. 1, og artikel 9, stk. 1, i databeskyttelsesforordningen kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder som fastlagt i anden lovgivning eller kollektive overenskomster.

Stk. 2 Behandling af oplysninger som nævnt i stk. 1 må også finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, som udspringer af anden lovgivning eller kollektive overenskomster, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor.

Stk. 3 Behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den registreredes samtykke i overensstemmelse med artikel 7 i databeskyttelsesforordningen.

§ 13

Inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på direkte markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.

§ 14

Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Kapitel 4 1 Videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige
§ 15

Oplysninger om gæld til det offentlige kan efter bestemmelserne i dette kapitel videregives til kreditoplysningsbureauer.

Stk. 2 Oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller artikel 10 må ikke videregives til kreditoplysningsbureauer.

Stk. 3 Fortrolige oplysninger, som videregives efter reglerne i dette kapitel, anses ikke som følge af videregivelsen som offentligt tilgængelige.

§ 16

Oplysninger om gæld til det offentlige kan videregives til et kreditoplysningsbureau, hvis

  • 1) det følger af lov eller bestemmelser fastsat i henhold til lov eller

  • 2) den samlede gæld er forfalden og overstiger 7.500 kr., idet der dog ikke heri må indgå gældsposter, der er omfattet af en overholdt aftale om henstand eller afdragsvis betaling, jf. dog stk. 2 og 3.

Stk. 2 Det er en betingelse for videregivelse efter stk. 1, nr. 2, at den samlede gæld administreres af samme inddrivelsesmyndighed.

Stk. 3 Det er endvidere en betingelse for videregivelse efter stk. 1, nr. 2, at

  • 1) gælden kan inddrives ved udpantning og der er fremsendt to rykkere til skyldneren,

  • 2) der er foretaget eller forsøgt foretaget udlæg for kravet,

  • 3) kravet er fastslået ved endelig dom eller

  • 4) det offentlige har erhvervet skyldnerens skriftlige erkendelse af den forfaldne gæld.

§ 17

Myndigheden skal give skyldneren skriftlig meddelelse, forinden videregivelse finder sted. Videregivelse må tidligst ske, 4 uger efter at denne meddelelse er givet.

Stk. 2 Den meddelelse, der er nævnt i stk. 1, skal indeholde oplysninger om,

  • 1) hvilke oplysninger der vil blive videregivet,

  • 2) til hvilket kreditoplysningsbureau videregivelsen vil ske,

  • 3) hvornår videregivelse vil finde sted, og

  • 4) at videregivelse ikke vil ske, hvis betaling af gælden sker inden videregivelsen eller der indrømmes henstand eller indgås og overholdes en aftale om afdragsvis betaling.

§ 18

Vedkommende minister kan fastsætte nærmere regler om fremgangsmåden ved videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige. Der kan i den forbindelse fastsættes regler om, at oplysninger om visse former for gæld til det offentlige ikke må videregives eller kun må videregives, hvis yderligere betingelser end dem, der er nævnt i § 16, er opfyldt.

Kapitel 5 1 Kreditoplysningsbureauer
§ 19

Den, som ønsker at drive virksomhed med behandling af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik på videregivelse (kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet, inden behandlingen påbegyndes, jf. § 26, stk. 1, nr. 2.

§ 20

Kreditoplysningsbureauer må kun behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed.

Stk. 2 Kreditoplysningsbureauer må ikke behandle oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller artikel 10.

Stk. 3 Oplysninger om forhold, der taler imod kreditværdighed, og som er mere end 5 år gamle, må ikke behandles, medmindre det i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen af den pågældendes økonomiske soliditet og kreditværdighed.

Stk. 4 Databeskyttelsesforordningens artikel 12-19 skal overholdes ved behandling af oplysninger om virksomheder m.v., hvis denne behandling udføres for kreditoplysningsbureauer.

§ 21

Oplysninger om økonomisk soliditet og kreditværdighed til abonnenter må kun meddeles skriftligt. Kreditoplysningsbureauet kan dog meddele summariske oplysninger mundtligt eller på lignende måde, hvis spørgerens navn og adresse noteres og opbevares i mindst 6 måneder.

Stk. 2 Kreditoplysningsbureauers publikationer må kun indeholde oplysninger i summarisk form og kun udsendes til personer eller virksomheder, der abonnerer på meddelelser fra bureauet. Publikationerne må ikke indeholde oplysninger om de registreredes personnummer.

Stk. 3 Summariske oplysninger om skyldforhold må kun videregives, hvis oplysningerne hidrører fra Statstidende, er indberettet af en offentlig myndighed efter reglerne i kapitel 4, eller hvis oplysningerne vedrører skyldforhold til samme kreditor på mere end 1.000 kr. og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld eller der er foretaget retslige skridt mod den pågældende. Oplysninger om endelig godkendt gældssanering må dog ikke videregives. De regler, der er nævnt i 1. og 2. pkt., gælder tillige for videregivelse af summariske oplysninger om skyldforhold i forbindelse med udarbejdelse af bredere kreditbedømmelser.

Stk. 4 Videregivelse af summariske oplysninger om enkeltpersoners skyldforhold må kun ske på en sådan måde, at oplysningerne ikke kan danne grundlag for vurderingen af økonomisk soliditet og kreditværdighed for andre end de pågældende enkeltpersoner.