Databeskyttelsesregler

Behandling af personoplysninger reguleres i databeskyttelsesforordningenog databeskyttelsesloven (”databeskyttelsesregler”).  I det følgende gennemgås de principper, som er de mest relevante i forhold til miljøtilsynsbekendtgørelsens regler om afgivelse og offentliggørelse af oplysninger. Har du brug for vejledning om databeskyttelsesreglerne, skal du altid søge vejledning i Datatilsynets vejledningsmateriale. Du kan læse mere om databeskyttelsesregler på Datatilsynets hjemmeside samt i Datatilsynets introduktionspjece til databeskyttelsesforordningen.

Hvad er en ”personoplysning”?

En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person, fx navn, adresse, telefonnummer, e-mail, stillingsbetegnelse/titel, arbejdsområde eller et billede.

Udtrykket ”identificerbar fysisk person” dækker enhver situation, hvor en person direkte eller indirekte kan identificeres ved hjælp af oplysningerne, uanset om dette fx forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, og uanset at identifikationsoplysningen ikke er alment kendt eller umiddelbart tilgængelig. Ved bedømmelsen af, om der er tale om personoplysninger omfattet af databeskyttelsesreglerne, vil det således principielt være uden betydning, på hvilken måde identifikationen kan foretages.

Du skal være opmærksom på, at oplysninger i forbindelse med enkeltmandsvirksomheder er personoplysninger, hvis de gør det muligt at identificere en fysisk person. Også oplysninger om interessentskaber – i det omfang interessenterne er fysiske personer – kan være personoplysninger, hvis oplysninger kan henføres til en identificeret eller identificerbar fysisk person. Især mange mindre virksomheder og husdyrbrug m.v. er enkeltmandsvirksomheder og oplysningerne kan derfor være omfattet af databeskyttelsesreglerne. Du kan finde oplysninger om virksomhedstype i det centrale virksomhedsregister, CVR.

Virksomhedsoplysninger, dvs. oplysninger om juridiske personer, såsom aktieselskaber, anpartsselskaber, kommanditselskaber, fonde, foreninger og visse selvejende institutioner mv., er ikke omfattet af databeskyttelsesreglerne. Bemærk dog, at databeskyttelsesreglerne også gælder for personoplysninger vedrørende fysiske personer i forbindelse med en erhvervsaktivitet, som fx ansatte i en virksomhed eller arbejdsmailadresser i formatet ”Obfuscated Emaildk”.

Et CVR-nummer er som udgangspunkt ikke en personoplysning, medmindre ejeren af CVR-nummeret driver sit selskab som et personselskab, hvor CVR-nummeret kan identificere en fysisk person.

Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, fx oplysninger om det samlede antal af politianmeldelser og selvhjælpshandlinger jf. § 17, stk. 1, nr. 1, anses ikke for en personoplysning.

Du kan læse mere om personoplysninger på Datatilsynets hjemmeside.

Hvilke typer personoplysninger findes der?

Almindelige personoplysninger og følsomme personoplysninger

Databeskyttelsesforordningen skelner mellem almindelige personoplysninger og særlige kategorier af personoplysninger (følsomme personoplysninger). Særlige kategorier er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold. Det dækker også behandling af genetiske og biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, jf. databeskyttelsesforordningens artikel 9.  

Fortrolige personoplysninger

Der gælder endvidere særlige regler for behandling af andre fortrolige personoplysninger.

Fortrolige oplysninger er en særlig kategori, der ikke nævnes udtrykkeligt i databeskyttelsesforordningen, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. I denne kategori falder følsomme personoplysninger og andre fortrolige personoplysninger, herunder CPR-numre og personoplysninger om strafbare forhold.

Grundlag for behandling, herunder afgivelse og offentliggørelse, af personoplysninger

Inden du behandler, herunder afgiver eller offentliggør, personoplysninger, skal du sikre dig, at din behandling har et lovligt grundlag. Vær opmærksom på, at der gælder særlige krav for behandling af følsomme personoplysninger og andre fortrolige oplysninger. Du kan læse mere om, hvornår du må behandle personoplysninger på Datatilsynets hjemmeside.

Almindelige personoplysninger, dvs. personoplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger) må lovligt behandles, hvis betingelserne i en af bestemmelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f, er opfyldt.

I det omfang du som godkendelses- eller tilsynsmyndighed i henhold til miljøtilsynsbekendtgørelsen er forpligtet til at afgive/offentliggøre (almindelige) personoplysninger kan afgivelsen/offentliggørelsen af disse oplysninger ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra c, hvorefter personoplysninger må behandles, hvis det er nødvendigt for at overholde en retlig forpligtelse, som påhviler myndigheden.

Behandling af almindelige personoplysninger vil i øvrigt kunne ske, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e.

I visse tilfælde, fx hvor du kan vælge om oplysninger skal afgives og offentliggøres i aggregeret form eller med angivelse af virksomheden og husdyrbruget m.v., jf. § 14, stk. 3, vil der kunne foreligge dobbelthjemmel til behandlingen, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c og e.

I de tilfælde, hvor du i henhold til miljøtilsynsbekendtgørelsen ikke har pligt til at afgive og/eller offentliggøre oplysningerne, fx hvis du vil offentliggøre flere oplysninger end krævet i miljøtilsynsbekendtgørelsen, fx en tilsynsrapport med uddybende prosa, billeder m.v., må du foretage en konkret vurdering af, om afgivelsen/offentliggørelsen af eventuelle personoplysninger må anses for at være nødvendig. Denne vurdering vil bl.a. afhænge af oplysningernes karakter, omstændighederne omkring behandlingen og hvad er formålet med behandlingen og karakteren af den behandling, der foretages. Vurderingen af nødvendigheden skal endvidere foretages ud fra et synspunkt om, at jo mere indgribende en behandlingsform, der er tale om, desto større krav stilles til nødvendigheden af, at behandlingen finder sted. Offentliggørelse af oplysninger på internettet er en meget indgribende form for behandling af personoplysninger, da modtagerkredsen i princippet er alle internetbrugere, og derfor stilles der større krav til nødvendigheden af offentliggørelsen.

Der gælder som udgangspunkt et forbud mod behandling af særlige kategorier af personoplysninger (følsomme personoplysninger). Disse oplysninger skal undtages fra offentliggørelse på DMA.

Principper for behandling af personoplysninger

Som dataansvarlig skal du også bl.a. sikre, at personoplysninger behandles i overensstemmelse med principperne for behandling jf. databeskyttelsesforordningens artikel 5, dvs. at oplysningerne skal:

  • behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
  • indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«)
  • være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
  • være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
  • opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«)
  • behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Øvrige regler i databeskyttelsesforordningen og databeskyttelsesloven

Som dataansvarlig skal du endvidere sikre, at behandlingen overholder de øvrige regler i databeskyttelsesforordningen og databeskyttelsesloven, herunder fx at du efterlever reglerne om de registreredes rettigheder, som fx oplysningspligt eller retten til indsigt. Du kan læse mere om forpligtelserne på Datatilsynets hjemmeside. 

 

Retsgrundlag

Miljøtilsynsbekendtgørelsen, § 11

Tilsynsmyndigheden udarbejder efter hvert fysisk tilsyn på virksomheden eller husdyrbruget m.v. en tilsynsrapport, der beskriver, om virksomheden eller husdyrbruget m.v. overholder de love, regler og afgørelser, der er genstand for tilsyn. Tilsynsrapporten skal som minimum indeholde følgende oplysninger:

  1. Baggrunden for tilsynet.
  2. Navn, adresse, CVR-nummer, eventuelt P-nummer og eventuelt CHR-nummer på virksomheden eller husdyrbruget m.v.
  3. Typen af virksomheden eller husdyrbruget m.v.
  4. Dato for tilsynsbesøgets udførelse.
  5. Hvad der er ført tilsyn med.
  6. Om der er konstateret jordforurening, hvis det er relevant.
  7. Om der er meddelt påbud, forbud eller indskærpelser til virksomheden eller husdyrbruget m.v.
  8. Konklusioner på virksomhedens eller husdyrbrugets m.v. seneste indberetninger om egenkontrol, herunder om indberetningen har givet tilsynsmyndigheden anledning til at udstede påbud, forbud eller indskærpelser.

Stk. 2. Tilsynsmyndigheden sender tilsynsrapporten til virksomheden eller husdyrbruget m.v. senest to måneder efter, at tilsynsbesøget har fundet sted, og meddeler, hvilke oplysninger som agtes offentliggjort.

Stk. 3. Tilsynsmyndighedens offentliggørelse sker med undtagelse af de oplysninger, der vil kunne undtages fra aktindsigt efter reglerne i lov om aktindsigt i miljøoplysninger.

Miljøtilsynsbekendtgørelsen, § 14 - om afgivelse af oplysninger om tilsyn, håndhævelser og brugerbetaling for tilsyn (Kapitel 4)

For hver virksomhed og husdyrbrug m.v. omfattet af § 1, stk. 2, afgiver tilsynsmyndigheden efter hvert tilsyn følgende oplysninger til Miljøstyrelsen:

1) Angivelse af myndighed.

2) Navn, adresse, CVR-nummer, eventuelt P-nummer og eventuelt CHR-nummer.

3) Dato for tilsynets udførelse.

4) Typen af virksomheden eller husdyrbruget m.v. fordelt på de grupper, der fremgår af bilag 3, og eventuelle gældende listepunkter, herunder hovedaktivitet og eventuelle biaktiviteter.

5) Tilsynstype (administrativt eller fysisk).

6) Tilsynskategori (basistilsyn, herunder relaterede tilsyn, prioriterede tilsyn, kampagnetilsyn, opstartstilsyn, § 9-tilsyn, øvrige tilsyn).

7) Antallet af markstakke på det enkelte husdyrbrug.

8) Om tilsynet helt eller delvist har vedrørt reglerne i eller afgørelser efter kapitel 3 og 4 samt § 46, stk. 1, nr. 1-6 og stk. 2, §§ 49, 54, 55, 56, 58, 59, 60, 61 og 62, § 73, stk. 5, § 74, stk. 5, §§ 75 og 79, § 81, stk. 1, nr. 2, § 82, § 83, stk. 1, nr. 1 og 2, § 84, § 86, nr. 2, § 88 og § 90, stk. 2, i bekendtgørelse om miljøkrav for mellemstore fyringsanlæg. Dette gælder dog ikke reglerne om emissionsgrænseværdier for spormetaller og CO, reglerne om egenkontrol for spormetaller, reglen om indretning af målested og reglerne om måling og regulering af O2-indholdet i røggassen.

Stk. 2. Tilsynsmyndigheden skal endvidere til Miljøstyrelsen for hver virksomhed og husdyrbrug m.v. oplyse, når der er meddelt påbud, forbud, indskærpelser og henstillinger samt datoen herfor. For de virksomheder og husdyrbrug m.v., som ikke er omfattet af databeskyttelsesloven og databeskyttelsesforordningen, skal det desuden oplyses, hvorvidt der er foretaget selvhjælpshandlinger eller politianmeldelser samt datoen herfor.

Stk. 3. For øvrige virksomheder og husdyrbrug m.v. end dem, som er omfattet af § 1, stk. 2, afgiver tilsynsmyndigheden oplysningerne efter stk. 1 og 2 efter enten hvert tilsyn eller oplysningerne i stk. 1, nr. 4-7 og stk. 2 årligt senest den 1. april for det forudgående kalenderår fordelt på de relevante grupper af virksomheder og husdyrbrug m.v., som ikke er omfattet af § 1, stk. 2, som fremgår af bilag 3.

Stk. 4. Tilsynsmyndigheden skal endvidere til Miljøstyrelsen oplyse om brugerbetaling for tilsyn årligt senest den 1. april for tilsyn for det forudgående kalenderår, fordelt på de grupper, som fremgår af bilag 3.

Stk. 5. Oplysningerne skal afgives med de begrænsninger for videregivelse, der følger af anden lovgivning.

Miljøtilsynsbekendtgørelsen, § 17  - om den årlige indberetning til Miljøstyrelsen (Kapitel 4)

Tilsyns- og godkendelsesmyndigheden skal hvert år senest den 1. april til Miljøstyrelsen med de begrænsninger, der følger af anden lovgivning, indsende deres skriftlige vurdering af og bemærkninger til de oplysninger, der skal meddeles efter §§ 14 og 15 i denne bekendtgørelse, efter § 51 i bekendtgørelse om godkendelse af listevirksomhed, efter § 45 i bekendtgørelse om virksomheder, der forarbejder emner af jern, stål eller andre metaller og efter § 93, stk. 1 og 2, og § 94 i bekendtgørelse om miljøkrav for mellemstore fyringsanlæg for det forudgående kalenderår, samt bekræfte, at alle data er afgivet og verificeret.

Stk. 2. Tilsyns- og godkendelsesmyndigheden skal endvidere hvert år senest den 1. april til Miljøstyrelsen om det forudgående år oplyse følgende:

  1. Antal politianmeldelser og selvhjælpshandlinger for de virksomheder og husdyrbrug m.v., som er omfattet af persondataloven.

  2. Antal henstillinger, påbud, forbud, indskærpelser, selvhjælpshandlinger og politianmeldelser vedrørende forhold, som berører markstakke.

  3. Antal påbud, forbud, indskærpelser, henstillinger, selvhjælpshandlinger eller politianmeldelser, som vedrører reglerne i eller afgørelser efter kapitel 3 og 4 samt § 46, stk. 1, nr. 1-6 og stk. 2, §§ 49, 54, 55, 56, 58, 59, 60, 61 og 62, § 73, stk. 5, § 74, stk. 5, §§ 75 og 79, § 81, stk. 1, nr. 2, § 82, § 83, stk. 1, nr. 1 og 2, § 84, § 86, nr. 2, § 88 og § 90, stk. 2, i bekendtgørelse om miljøkrav for mellemstore fyringsanlæg. Dette gælder dog ikke reglerne om emissionsgrænseværdier for spormetaller og CO, reglerne om egenkontrol for spormetaller, reglen om indretning af målested og reglerne om måling og regulering af O2-indholdet i røggassen.

Senest opdateret d. 24-6-2021