Nyheder

Vi bringer en guide til hovedtrækkene i det nye lovforslag til databeskyttelsesloven og sætter fokus på, hvad der er nyt i forhold til de gældende regler i persondataloven samt i forhold til databeskyttelsesforordningen.

Ny databeskyttelseslov fremsat for Folketinget

Af Martin Sønnersgaard


Regeringen har den 25. oktober 2017 fremsat et forslag til en ny databeskyttelseslov for Folketinget. Loven skal erstatte den nugældende persondatalov og supplere databeskyttelsesforordningen med danske særregler. Et af elementerne i lovforslaget er bl.a., at offentlige myndigheder skal kunne straffes med store bøder for overtrædelse af databeskyttelsesforordningen.

Denne nyhed indeholder en guide til hovedtrækkene i det nye lovforslag til databeskyttelsesloven og sætter fokus på, hvad der er nyt i forhold til de gældende regler i persondataloven samt i forhold til databeskyttelsesforordningen.

Baggrund og generelt om lovforslaget til databeskyttelsesloven

Den nye databeskyttelsesforordning er vedtaget og finder anvendelse fra den 25. maj 2018. Forordningen gælder direkte i Danmark og udgør det primære generelle retsgrundlag for behandling af personoplysninger i medlemsstaterne, herunder Danmark.

Der er imidlertid i forordningen en lang række områder, hvor medlemsstaterne har ret til at fastsætte supplerende regler eller skal gennemføre forordningen i national lovgivning.

Det nye lovforslag har derfor til formål at supplere og gennemføre databeskyttelsesforordningen i dansk ret inden for det nationale råderum herfor. Databeskyttelsesloven skal træde i kraft den 25. maj 2018, hvor den eksisterende persondatalov (samt regler fastsat i medfør heraf) samtidig ophæves.

Efter den 25. maj 2018 vil det herefter være databeskyttelsesforordningen suppleret af databeskyttelsesloven, som fastsætter generelle regler for databeskyttelse. Hertil kommer reglerne om behandling af personoplysninger i særlovgivningen.

Lovforslaget, der er ganske omfattende, er i vidt omfang en videreførelse af reglerne i den nugældende lov. Lovforslaget indeholder dog også væsentlige nyskabelser. I det følgende gennemgås Lovforslagets indhold i hovedtræk.

Lovudkastets indhold i hovedtræk

  1. Tv-overvågning. Loven og databeskyttelsesforordningen gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning. Det gælder også analog tv-overvågning. Det fremgår af lovforslagets § 2, stk. 4.

  2. Oplysninger om afdøde personer. Oplysninger om afdøde personer beskyttes i op til 10 år fra de pågældendes død, jf. udkastets § 2, stk. 5. Justitsministeren kan dog ændre beskyttelsesperioden i op- eller nedadgående retning ved bekendtgørelse, jf. § 2, stk. 6.

  3. Krigsreglen overlever, men i en ny version. Det fremgår af lovforslaget, at justitsministeren efter forhandling med vedkommende minister kan fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, alene må opbevares her i landet, jf. lovforslagets § 3, stk. 9.
    Reglen har stor praktisk betydning for offentlige myndigheders muligheder for at outsource opbevaring og øvrig behandling af store registre uden for Danmarks grænser, herunder ved brug af cloud computing. Lovforslagets version af krigsreglen medfører således en begrænsning af den nugældende krigsregel og dermed en mere fleksibel retstilstand.
  4. Øget mulighed for genanvendelse af personoplysninger i den offentlige digitale forvaltning. Det følger af det såkaldte formålsbestemthedsprincip (lovforslagets § 5, stk. 1), at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål. Oplysningerne må ikke senere viderebehandles på en måde, der er uforenelig med disse formål.

    Lovforslagets § 5, stk. 3, åbner dog op for, at der i bekendtgørelsesform kan fastsættes nærmere regler om, at personoplysninger må viderebehandles af offentlige myndigheder til andre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed. Hensigten hermed er at åbne op for muligheden for øget og effektiv videreanvendelse, genbrug og datadeling af personoplysninger i forbindelse med digital forvaltning.

    Såfremt offentlige myndigheder viderebehandler personoplysninger på baggrund af regler fastsat i medfør af lovens § 5, stk. 3, begrænses oplysningspligten over de registrerede, jf. lovforslagets § 23.

  5. Samkøring i kontroløjemed skal ikke længere kræve særskilt lovhjemmel. I dag kræver offentlige myndigheders samkøring af personoplysninger i kontroløjemed efter Datatilsynets praksis bl.a. særskilt lovhjemmel. Det er imidlertid med lovforslaget ikke længere en forudsætning, at samkøring i kontroløjemed skal have hjemmel særskilt i en lov.

  6. Børns brug af hjemmesider, apps m.v. Der sættes en aldersgrænse for samtykke fra børn og unge til brug af informationssamfundstjenester til 13 år. Er barnet under 13 år, er behandling af personoplysninger om barnet kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet, jf. lovforslagets § 6, stk. 3.

  7. Indskrænkning af kategorien for følsomme personoplysninger. Oplysninger om væsentlige sociale problemer og andre private forhold udgør i dag følsomme personoplysninger omfattet af persondatalovens § 8 og er dermed underlagt skærpede betingelser for behandling. Med lovforslaget vil disse oplysningstyper ikke (længere) være følsomme personoplysninger, men derimod almindelige, ikke-følsomme personoplysninger. Disse oplysningstyper vil derfor kunne behandles alene på baggrund af behandlingsreglerne i forordningens artikel 6, jf. artikel 5.

  8. Videregivelse af personoplysninger på det sociale område. Den nugældende persondatalov indeholder i lovens § 8, stk. 3, en særlig skærpet regel om offentlige myndigheders videregivelse af følsomme personoplysninger på det sociale område. Bestemmelsen fører i praksis ofte til, at videregivelsen alene kan ske ved samtykke. Lovforslaget opretholder ikke en bestemmelse svarende til persondatalovens § 8, stk. 3.

  9. Værktøjskasse for behandlingssikkerhed m.v. Lovudkastet indeholder en række konkrete eksempler på sikkerhedsforanstaltninger, som dataansvarlige kan bruge for at sikre overholdelse af loven og forordningen – en ”værktøjskasse”. Det fremgår, at man kan søge inspiration i den nugældende sikkerhedsbekendtgørelse (nr. 528/2000). Se punkt 2.3.3.3 i de almindelige bemærkninger.

  10. Der indføres en særlig hjemmel for behandling af personoplysninger i ansættelsesforhold. I dag behandles personoplysninger på det ansættelsesretlige område i medfør af de almindelige behandlingsregler i persondatalovens §§ 6-8. I lovforslagets § 12 fastsættes imidlertid en særlig bestemmelse om behandling af personoplysninger i ansættelsesforhold. Det fremgår, at behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den registreredes samtykke, jf. § 12, stk. 3.

  11. CPR-nummer. De nugældende regler om behandling af CPR-nummer videreføres i alt væsentligt, jf. lovforslagets § 11. Dog gives private – i modsætning til i dag – mulighed for at behandle personoplysninger, når betingelserne i lovforslagets § 7 (om undtagelser til forbuddet mod behandling af følsomme personoplysninger) er opfyldt.

  12. Databeskyttelsesrådgivere hos private virksomheder. I forordningen er der hjemmel til, at medlemsstaterne kan udvide kredsen af de virksomheder, der skal udpege en databeskyttelsesrådgiver (DPO). Denne mulighed udnyttes dog ikke i lovforslaget. Private virksomheder skal derfor alene udpege en DPO, når betingelserne i forordningens artikel 37, stk. 1, litra b og c, er opfyldt.

  13. Tavshedspligt for databeskyttelsesrådgivere. DPO’ere udpeget i private virksomheder underlægges en lovbestemt tavshedspligt, jf. lovforslagets § 24. Offentligt ansatte databeskyttelsesrådgivere er allerede omfattet af de almindelige regler om tavshedspligt i forvaltningsloven og straffeloven. Overtrædelse af tavshedspligten er belagt med bødestraf, jf. lovforslagets § 41, stk. 4.

  14. Tilsynsmyndigheder. Tilsynsmyndigheden bliver Datatilsynet og Domstolsstyrelsen på domstolsområdet. De foreslåede regler om tilsynsmyndighederne er i vidt omfang en videreførelse af gældende ret, herunder i forhold til kravet om uafhængighed og beskrivelsen af tilsynsmyndighedens opgaver.
  15. Datatilsynets bødebeføjelser. Datatilsynet kan ikke selvstændigt udstede administrative bøder, som har karakter af en strafferetlig sanktion – denne kompetence henhører under de danske domstole. Datatilsynet får dog mulighed for at udstede bødeforlæg i egnede sager, jf. lovforslagets § 42. Det gælder normalt i ukomplicerede sager uden bevismæssige tvivlsspørgsmål. Kun hvis den, der har begået lovovertrædelsen, nægter at vedtage bødeforlægget og betale bøden, vil sagen overgå til behandling hos domstolene.

  16. Væsentligt forhøjet bødeniveau. I dag straffes private virksomheders overtrædelse af persondataloven med bøder på mellem kr. 2.000 og 25.000 afhængigt af karakteren af de pågældende overtrædelser. Det fremgår dog af lovforslagets bemærkninger, at der som følge af det betydelige maksimale bødebeløb i forordningen (EUR 20 mio. eller 4 % af årlige globale omsætning) lægges op til en væsentlig forøgelse af bødeniveauet. Justitsministeriet tilkendegiver også i bemærkningerne, at virkningen af det danske bødeniveau skal svare til virkningen af de bøder, som administrativt pålægges af tilsynsmyndighederne i andre EU-lande.

  17. Bøder til offentlige myndigheder. Offentlige myndigheder og institutioner m.v. omfattet af forvaltningslovens § 1, stk. 1 og 2, kan straffes med bøde for visse overtrædelser af databeskyttelsesforordningen. Bøden kan udgøre helt op til 4 % af driftsbevillingen, dog maksimalt 16 mio. kr.

Næste skridt

Lovforslaget til databeskyttelsesloven er fremsat for Folketinget og skal nu færdigbehandles. Man skal derfor huske på, at loven ikke er endeligt vedtaget af Folketinget, og at der forventeligt vil komme ændringer under udvalgsbehandlingen i Folketinget.

Næste skridt er 1. behandling den 16. november 2017. Kammeradvokaten følger udviklingen løbende.

Du kan læse lovforslaget som fremsat her.

Del på LinkedIn Del på Facebook