RSS
Alfabetisk indeks
Siden er tilgængelig på 23 sprog
Nye sprog:  BG - CS - ET - GA - LV - LT - HU - MT - PL - RO - SK - SL

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Beskyttelse af personoplysninger

Direktiv 95/46/EF udgør referencerammen for beskyttelse af personoplysninger i EU. Med direktivet er der indført en lovgivningsramme med henblik på at skabe balance mellem et højt beskyttelsesniveau for den enkeltes privatliv og den frie udveksling af personoplysninger inden for Den Europæiske Union (EU). Direktivet fastsætter strenge regler for indsamling og anvendelse af personoplysninger og kræver, at hver medlemsstat opretter et uafhængigt nationalt organ, som har til ansvar at beskytte disse oplysninger.

DOKUMENT

Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger [De Europæiske Fællesskabers Tidende L 281 af 23.11.1995] [Se ændringsretsakter].

RESUMÉ

Direktivet gælder for behandling af personoplysninger, der foretages ved hjælp af edb (f.eks. et computerstøttet kundekartotek), samt for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register (de traditionelle papirbaserede registre).

Direktivet gælder ikke for behandling af personoplysninger:

  • som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter
  • som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, f.eks. den offentlige sikkerhed, forsvaret eller statens sikkerhed.

Direktivet har til formål at beskytte fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Dette gøres ved, at der opstilles nogle ledende principper for lovligheden af en sådan behandling. Disse principper vedrører:

  • Oplysningernes pålidelighed: personoplysninger skal bl.a. behandles rimeligt og lovligt og indsamles til udtrykkeligt angivne og legitime formål. De skal desuden være korrekte og om nødvendigt ajourførte.
  • Behandlingens legitimitet: behandling af personoplysninger må kun foretages, hvis der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller hvis behandlingen er nødvendig for at:
    1. kunne opfylde en kontrakt, som den registrerede er part i, eller
    2. kunne overholde en retlig forpligtelse, som den registeransvarlige er pålagt, eller
    3. kunne beskytte den registreredes vitale interesser, eller
    4. kunne varetage almene hensyn eller
    5. den registeransvarlige kan forfølge en legitim interesse.
  • Bestemte typer behandling: behandling af personoplysninger om racemæssig eller etnisk baggrund, offentlig mening, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold såvel som oplysninger om helbredsforhold og seksuelle forhold er forbudt. I denne bestemmelse er der fastsat en række forbehold, der f.eks. vedrører tilfælde, hvor behandlingen er nødvendig for at beskytte den registreredes vitale interesser, eller sager, der vedrører forebyggende medicin og medicinsk diagnose.
  • Oplysningspligt over for den registrerede: visse oplysninger (den registeransvarliges identitet, formålet med behandlingen af personoplysninger, modtagere af personoplysninger osv.), skal af den registeransvarlige gives til den person, som oplysningerne omhandler.
  • Ret til indsigt for den registrerede: alle registrerede skal have ret til af den registeransvarlige at få:
    1. oplyst, om der behandles oplysninger om dem, og om, hvilke oplysninger, der behandles.
    2. berigtiget, slettet eller blokeret personoplysninger, som ikke er blevet behandlet i overensstemmelse med dette direktiv, navnlig hvis de er ufuldstændige eller urigtige. Tredjemand, til hvem sådanne oplysninger er blevet videregivet, skal underrettes om disse ændringer.
  • Undtagelser og begrænsninger: principperne for oplysningernes pålidelighed, underretning af den registrerede, ret til indsigt og offentliggørelse af behandlingen kan begrænses, hvis dette er nødvendigt af hensyn til bl.a. statens sikkerhed, forsvaret, den offentlige sikkerhed, retsforfølgelse i straffesager, vigtige økonomiske og finansielle interesser i en medlemsstat eller i EU eller beskyttelse af den registrerede.
  • Indsigelsesret mod behandlingen: den registrerede skal have ret til af legitime grunde at gøre indsigelse mod, at personoplysninger om ham selv gøres til genstand for behandling. Den registrerede bør ligeledes, efter anmodning og uden udgifter, kunne modsætte sig behandlingen af personoplysninger, som foretages med henblik på markedsføring. Endelig skal den registrerede informeres, inden oplysningerne videregives til tredjemand med henblik på markedsføring, og skal have mulighed for at modsætte sig denne videregivelse.
  • Fortrolighed og behandlingssikkerhed: personer, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som har adgang til personoplysninger, må kun behandle oplysninger, hvis dette sker efter instruks fra den registeransvarlige. Endvidere skal den registeransvarlige iværksætte de fornødne forholdsregler for at beskytte personoplysningerne mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring og uautoriseret udbredelse og adgang.
  • Pligt til at anmelde behandlinger til tilsynsmyndigheden: den registeransvarlige skal underrette den nationale tilsynsmyndighed, før behandlingen af personoplysninger igangsættes. En forudgående kontrol af eventuelle risici med hensyn til den registreredes rettigheder og frihedsrettigheder foretages af tilsynsmyndigheden efter modtagelse af anmeldelsen. Behandlingen skal være offentlig, og tilsynsmyndigheden skal føre et register over anmeldte behandlinger.

Enhver skal have ret til en domstolsprøvelse i tilfælde, hvor der sker en krænkelse af de rettigheder, som garanteres i de nationale bestemmelser, der gælder for den pågældende behandling. Registrerede personer, der har lidt skade som følge af en ulovlig behandling af deres personoplysninger, har endvidere ret til at modtage erstatning for den lidte skade.

Det er tilladt at videregive personoplysninger fra en medlemsstat til et tredjeland, hvis dette tredjeland sikrer et passende beskyttelsesniveau. Der må dog ikke ske videregivelse af personoplysninger til et tredjeland, der ikke sikrer et sådant passende beskyttelsesniveau, undtagen i nogle få tilfælde, der er udtømmende opregnet.

Direktivet tilskynder til udarbejdelse af adfærdskodekser på nationalt plan og på EU-plan, der skal medvirke til at sikre, at de nationale bestemmelser og EU-bestemmelserne finder korrekt anvendelse.

Hver medlemsstat skal sørge for, at der udpeges en eller flere offentlige myndigheder, der skal have til opgave på dens område at påse, at de bestemmelser, medlemsstaten vedtager til gennemførelse af direktivet, overholdes.

Der nedsættes ved direktivet en gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der består af repræsentanter for de nationale tilsynsmyndigheder, repræsentanter for EF-institutionernes og -organernes tilsynsmyndigheder og en repræsentant for Kommissionen.

REFERENCER

RetsaktIkrafttrædenOvertagelse i medlemsstaterneDen Europæiske Unions Tidende
Direktiv 95/46/EF

13.12.1995

24.10.1998

EFT L 281 af 23.11.1995

ÆndringsretsakterIkrafttrædenOvertagelse i medlemsstaterneDen Europæiske Unions Tidende

Forordning (EF) nr.1882/2003

20.11.2003

-

EUT L 284 af 31.10.2003

De ændringer og rettelser som følger af rådsdirektiv 95/46/EF er blevet integreret i grundteksten. Denne konsoliderede version har ingen retsvirkning.

TILHØRENDE DOKUMENTER

GENNEMFØRELSESBERETNING

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet. [KOM(2007) 87 endelig - ikke offentliggjort i De Europæiske Fællesskabers Tidende]
I denne meddelelse undersøges den indsats, der er gjort inden for arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet ifølge den første rapport om gennemførelse af direktiv 95/46/EF. Ifølge Kommissionen går det bedre med gennemførelsen, da samtlige medlemsstater nu har gennemført direktivet. Der gøres opmærksom på, at der ikke for indeværende er grund til at ændre direktivet.

Derudover hedder det i meddelelsen, at Kommissionen vil:

  • fortsætte med sit arbejde sammen med medlemsstaterne og om nødvendigt vil indlede officielle overtrædelsesprocedurer
  • udarbejde en fortolkningsmeddelelse om visse bestemmelser i direktivet
  • fortsætte med gennemførelsen af arbejdsprogrammet
  • fremlægge sektorlovgivning på EU-plan, hvis der sker en væsentlig teknisk udvikling inden for et bestemt område
  • fortsætte med sit samarbejde med de eksterne partnere, især USA.

Beretning fra Kommissionen [KOM(2003) 265 endelig - ikke offentliggjort i Den Europæiske Unions Tidende.
Første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF)
Der gøres i beretningen bl.a. status over de høringer af regeringer, institutioner, branchesammenslutninger samt forbruger- og borgersammenslutninger, som Kommissionen har gennemført om evalueringen af direktiv 95/46/EF. Resultatet af høringerne viser, at kun få af bidragyderne ønsker en ændring af direktivet. Efter høring af medlemsstaterne har Kommissionen endvidere noteret sig, at størstedelen af medlemsstaterne og ligeledes de nationale tilsynsmyndigheder ikke anser det for nødvendigt at ændre direktivet i øjeblikket.

Trods forsinkelser og forskellige mangler ved gennemførelsen, har direktivet tjent sit hovedformål, hvilket er at fjerne hindringer for fri udveksling af personoplysninger mellem medlemsstaterne. Kommissionen finder for øvrigt, at målsætningen om at garantere et højt beskyttelsesniveau i EU er nået, idet direktivet har fastsat normer for beskyttelse af personoplysninger, som hører til blandt verdens strengeste.

Andre mål, der er indeholdt i politikken for det indre marked, er dog ikke nået med samme succes. Der er fortsat store forskelle mellem databeskyttelseslovgivningen fra medlemsstat til medlemsstat. Disse forskelle forhindrer de internationale organisationer i at udvikle tværeuropæiske databeskyttelsespolitikker. Kommissionen vil tage de nødvendige forholdsregler for at afhjælpe denne situation, men vil så vidt muligt undgå at ty til formelle skridt.

Med hensyn til det generelle niveau for overholdelsen af databeskyttelseslovgivningen inden for EU skal følgende tre problemer nævnes:

  • håndhævelsesbestræbelserne hæmmes af manglende ressourcer
  • der er meget stor forskel på, i hvilket omfang de registeransvarlige overholder de gældende bestemmelser;
  • de registrerede har tilsyneladende et meget begrænset kendskab til deres rettigheder, hvilket kan være årsagen til ovenstående fænomen.

For at sikre en bedre håndhævelse af databeskyttelsesdirektivet har Kommissionen vedtaget et arbejdsprogram med en række foranstaltninger, som skal gennemføres mellem godkendelsen af denne beretning og udgangen af 2004. Disse foranstaltninger omfatter følgende initiativer:

  • drøftelser med medlemsstaterne og de myndigheder, der er ansvarlige for databeskyttelse, om de ændringer, som er nødvendige for at bringe de nationale lovgivninger i fuld overensstemmelse med kravene i direktivet
  • samarbejde med ansøgerlandene med henblik på at opnå en bedre og mere ensartet gennemførelse af direktivet
  • højere grad af anmeldelse af alle retsakter til gennemførelse af direktivet
  • forenkling af kravene vedrørende internationale overførsler af personoplysninger
  • fremme af privatlivsfremmende teknologier
  • fremme af selvregulering og europæiske adfærdskodekser.

DIREKTIV OM DATABESKYTTELSE INDEN FOR ELEKTRONISK KOMMUNIKATION

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) [De Europæiske Fællesskabers Tidende L 201 af 31. juli 2002].
Dette direktiv blev vedtaget i 2002 samtidig med en række andre nye bestemmelser, der omfatter hele den elektroniske kommunikationssektor. Det indeholder bestemmelser om en række mere eller mindre følsomme emner, såsom medlemsstaternes mulighed for at opbevare trafikdata med henblik på politiovervågning (tilbageholdelse af oplysninger), udsendelse af uønskede elektroniske meddelelser, anvendelse af cookies og optagelse af personoplysninger i offentlige abonnentfortegnelser.

STANDARDKONTRAKTBESTEMMELSER OM OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE

Kommissionens beslutning 2004/915/EF af 27. december 2004 om ændring af beslutning 2001/497/EF for at indføre en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande [Den Europæiske Unions Tidende L 385 af 29. december 2004].
Europa-Kommissionen har godkendt nye standardkontraktbestemmelser, som virksomheder kan anvende for at give passende garantier, når der overføres personoplysninger fra EU til et tredjeland. Disse nye standardkontraktbestemmelser supplerer de bestemmelser, der allerede er blevet fastsat inden for rammerne af Kommissionens beslutning fra juni 2001 (se nedenfor).

Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF [De Europæiske Fællesskabers Tidende L 181 af 4. juli 2001].
I denne beslutning er der fastsat en række standardkontraktbestemmelser, som sikrer et tilstrækkeligt databeskyttelsesniveau, når der overføres personoplysninger fra EU til tredjelande. I henhold til denne beslutning er medlemsstaterne forpligtet til at anerkende, at selskaber eller organisationer, som anvender sådanne standardkontraktbestemmelser ved overførsel af personoplysninger til tredjelande, garanterer et tilstrækkeligt databeskyttelsesniveau.

DATABESKYTTELSEN I EU'S INSTITUTIONER OG ORGANER

Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger [De Europæiske Fællesskabers Tidende L 8 af 12. januar 2001].
Denne forordning vedrører beskyttelse af personoplysninger i EU's institutioner og organer. Forordningen indeholder bestemmelser:

  • som skal sikre et højt beskyttelsesniveau for personoplysninger, som behandles af EU's institutioner og organer
  • om oprettelse af en uafhængig kontrolinstans, der skal kontrollere anvendelsen af disse bestemmelser.
Seneste ajourføring: 01.02.2011
Juridisk meddelelse | Om dette websted | Søgning | Kontakt | Sidens top