Udkast til lovforslag til "databeskyttelsesloven"

Justitsministeriet har fredag den 7. juli sendt et udkast til lovforslag til "databeskyttelsesloven" i høring med frist til at give bemærkninger den 22. august 2017. Vi gennemgår de vigtigste punkter i det 200 sider lange lovforslag.

Databeskyttelsesloven skal fra 25. maj 2018 delvist erstatte persondataloven, mens persondataforordningen i øvrigt regulerer databeskyttelsesområdet. Udkastet til lovforslag til "databeskyttelsesloven" kan findes her.

Der er tale om et ganske omfattende lovforslag, med 48 paragraffer og fyldige lovbemærkninger. Lovforslaget fylder 200 sider (og dertil kommer persondataforordningen, som er optrykt som bilag til lovforslaget). Husk, at det alene er et udkast til lovforslag, og at der kan (og formodningsvist vil) ske ændringer i udkastet inden fremsættelsen af lovforslaget i Folketinget og igen under behandlingen i Folketinget.

Indledningsvist er det dog vigtigt at understrege, at persondataforordningen fremover vil være den primære retskilde til de danske regler om behandling af persondata. En god del af lovforslaget er blot afskrift af bestemmelser i forordningen - hvilket rent EU-retligt er tilladt - men det forhold, at bestemmelsen nu både står i forordningen og i loven ændrer ikke på, at fortolkningen af bestemmelsen skal ske ud fra en EU-retlig vinkel, altså ikke mindst med stor fokus på udtalelser og afgørelser fra Artikel 29-gruppen (og dennes afløser, Databeskyttelsesrådet). Det vil derfor i praksis være meget vigtigt, at man ved anvendelse af loven har øje for, om bestemmelsen i loven er en dansk særregel eller en gengivelse af forordningens regel.

På mange punkter er lovforslaget ukontroversielt - se dog et par "interessante" punkter nedenfor - og følger den "business as usual" linje, som der blev fokuseret på i Betænkning 1565/2017. Som tidligere vurderet her fra Plesner's side, er det altså ikke i de materielle regler (de "grønne kasser"), at man finder revolutionen eller evolutionen inden for databeskyttelsesretten - dem finder man nede i reglerne om "ansvarlighed"/"accountability", hvor der til gengæld også er nok at tage fat på.

En række punkter i lovforslaget kan dog fremhæves:

  1. Reglerne for behandling af oplysninger om straffedomme og strafbare forhold videreføres indholdsmæssigt for både offentlige og private dataansvarlige, se § 8 i udkastet. Som noget nyt kan behandling også ske med hjemmel i artikel 9, jf. § 7 i udkastet (altså hjemlen til behandling af følsomme oplysninger).

  2. Reglerne om behandling af CPR-nummer videreføres for offentlige og private dataansvarlige, se § 11 i udkastet. Dog udvides behandlingshjemlen, således at behandling også kan ske med hjemmel i artikel 9, jf. § 7 i udkastet (altså hjemlen til behandling af følsomme oplysninger).

  3. Den danske særregel i den nugældende § 6, stk. 2 og stk. 3, om videregivelse af almindelige personoplysninger fra en virksomhed til en anden virksomhed til markedsføringsformål (eller anvendelse til markedsføringsformål på vegne af den anden virksomhed) videreføres. Dette er kontroversielt, da reglen både i dag under persondatadirektivet og fremover under forordningen må antages at være i strid med direktivet/forordningen, se Asnef-dommen (C-468/10) og senest Breyer-dommen (C-582/14) fra EU Domstolen, hvorefter medlemsstaterne ikke kan afskære anvendelse af de almindelige behandlingsgrundlag. Justitsministeriet bekræfter dette i betænkningen, side 155, 2. og 5. afsnit, men anlægger herefter en meget "spændende" fortolkning af medlemsstaternes råderum i forhold til interesseafvejningsreglen.

    Det bliver interessant at se, om § 6, stk. 2 og 3 "overlever" høringsforløbet og behandlingen i Folketinget; Set i lyset af forløbet med de nye regler om behandling af persondata i forbindelse med udbud af betalingstjenester (§§ 124 og 125 i lov om betalinger) - hvor der skete væsentlige ændringer undervejs både forud for fremsættelsen og under Folketingets behandling - kunne der godt være lagt op til et uforudsigeligt forløb.

  4. Aldersgrænsen for samtykket fra børn og unge til brug af informationssamfundstjenester (hjemmesider og apps mv.) sættes til 13 år, jf. § 6, stk. 2. Dette svarer til den foreslåede alder i Sverige.

  5. For private dataansvarlige skal den dataansvarliges oplysningspligt (art. 13 og 14), samt den registreredes indsigtsret (art 15), ikke gælde, "hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv".

    Reglen er - set fra en praktisk synsvinkel - meget vigtig, da art. 13 og art. 15 ikke indeholder nogen reelle "ventiler", sådan som art. 14.5 dog til dels gør. Reglen vil få betydning f.eks. i forbindelse med private dataansvarliges behandling af whistlebloweranmeldelser og andre interne undersøgelser - hvor opfyldelsen af oplysningspligten udsættes og indsigtsbegæringer afslås, f.eks. mens undersøgelserne er i deres tidlige faser. Lovbemærkningerne nævner også beskyttelse af forretningshemmeligheder som en sådan privat interesse, der kan begrunde hemmeligholdelse af oplysninger om behandlingen.

  6. Udkastet lægger kun op til at fastlægge meget beskedne særlige danske regler for behandling af persondata i forbindelse med personaleadministration, jf. art. 88.

    Man præciserer blot i § 7, stk. 2, og i § 12, stk. 2 - for med udkastets formulering at foretage en "helgardering" - at behovet for efterlevelse af forpligtelser og håndhævelse af rettigheder fastlagt i en kollektiv overenskomst kan hjemle behandling af almindelige persondata under art. 6 og følsomme persondata under art. 9, jf. også art. 9.2.b. Behandling af oplysninger om strafbare forhold reguleres af de almindelige regler (altså § 8 i udkastet).

    Dog er der i § 12, stk. 2, i udkastet en ny "interesseafvejningsregel", som bl.a. vil kunne anvendes af arbejdsgivere til behandling af oplysninger om medarbejdere, som ikke er omfattet af en kollektiv aftale. Reglen kan også anvendes af offentlige arbejdsgivere til almindelig personaleadministration - hvilket skal ses i lyset af, at offentlige myndigheder ikke kan anvende den almindelige interesseafvejningsregel i art. 6.1.f.

    Endelig indeholder § 12, stk. 3, i udkastet en præcisering af, at samtykke kan anvendes som behandlingsgrundlag ved personaleadministration, jf. artikel 7. Dette skal ses i lyset af, at Justitsministeriet i Betænkning 1565/2017 gjorde sig store anstrengelser for at "beskytte" den danske praksis med brug af samtykke inden for personaleadministration. Herfra skal der dog endnu en gang lyde en advarsel mod en generel anvendelse af samtykke til personaleadministration, hvilket blot blev bekræftet ved den seneste udtalelse fra Artikel 29-gruppen (se WP 249), hvor Artikel 29-gruppen bl.a. skrev i pkt. 6.2, at:

    "Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer."

    Man kan kun bruge samtykke til personaleadministration i helt konkrete situationer, hvor samtykket reelt er frivilligt, jf. art. 7 i forordningen. Bemærk i den forbindelse, at medlemsstaterne ikke (heller ikke via særregler hjemlet i art. 88) kan lempe kravene til et gyldigt samtykke under art. 7.

  7. Udkastet lægger ikke op til at udvide området for, hvornår private virksomheder skal udpege en DPO.

  8. Udkastet indeholder ikke noget forslag vedrørende spørgsmålet om, hvorvidt offentlige myndigheder skal kunne pålægges straf for overtrædelse af databeskyttelsesloven og forordningen - dette udskydes til videre politisk drøftelse.


    I øvrigt indeholder udkastet til lovforslaget følgende hovedpunkter:

  9. Databeskyttelsesloven og forordningen skal også gælde for personoplysninger om afdøde i 10 år fra vedkommendes død, men perioden kan ændres ved bekendtgørelse.

  10. Loven og persondataforordningen skal også gælde for behandling af oplysninger om virksomheder mv., hvis behandlingen udføres for kreditoplysningsbureauer eller i forbindelse med advarselsregistre. Lovens kapitel 4 (om videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige) skal også gælde for behandling af oplysninger om virksomheder mv. Loven og forordningens anvendelse på oplysninger om virksomheder kan ved bekendtgørelse udvides yderligere.

  11. Loven og forordningen skal gælde for enhver form for behandling af persondata i forbindelse med tv-overvågning (herunder analog tv-overvågning). De nuværende særregler i persondataloven om behandling af persondata i forbindelse med tv-overvågning forventes videreført i tv-overvågningsloven.

  12. Reguleringen af forholdet mellem persondatabeskyttelse og ytringsfrihed, herunder massemediernes forhold, er forsat lempelig i den forstand, at denne problemstilling i vidt omfang reguleres uden for databeskyttelseslovgivningen. I øvrigt videreføres den grundlæggende regel, at "loven og databeskyttelsesforordningens kapitel II-VII finder ikke anvendelse, hvis det vil være i strid med artikel 10 i Den Europæiske Menneskerettighedskonvention og artikel 11 i Den Europæiske Unions charter om grundlæggende rettigheder".

  13. "Krigsreglen" videreføres i § 3, stk. 9, men kompetencen flyttes til Justitsministeren. Det præciseres i lovbemærkningerne, at reglen retter sig mod beskyttelsen af statens sikkerhed - ikke mod beskyttelsen af de registrerede personer.

  14. Offentlige myndigheder har - som en videreførelse - ikke pligt til at efterleve art. 12-15, hvis "den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til …", hvorefter følger en oplistning af de mange hensyn i art. 23, herunder hensynet til statens sikkerhed, forsvaret, offentlig sikkerhed og efterforskning af strafbare handlinger.

    Indsigtsretten i art. 15 begrænses i samme omfang som efter §§ 19-29 og 35 i offentlighedsloven, sådan at der er overensstemmelse mellem reglerne i forordningen, loven og offentlighedsloven.

    Endelig skal offentlige myndigheder ikke opfylde oplysningspligten i art. 13.3 og art. 14.4 (anvendelse af persondata til nye formål, som ikke er beskrevet i persondatapolitikken), hvis det nye formål er hjemlet ved bekendtgørelse, § 5, stk. 3.

  15. Private, som driver advarselsregister, kreditoplysningsbureau eller retsinformationssystemer, samt databehandlere, kan ved en straffedom frakendes retten til at udøve den pågældende aktivitet, hvis overtrædelsen indikerer en nærliggende fare for misbrug.

  16. Datatilsynet kan efter § 31 i særlige tilfælde forbyde overførsel af følsomme persondata til usikre tredjelande - hvilket er hjemlet ved forordningens art. 49.5. Det er dog bemærkelsesværdigt, at § 31 (og lovbemærkningerne hertil) ikke angiver nogen kriterier for, hvornår Datatilsynets "veto-ret" kan anvendes.

  17. Kravet om forudgående tilladelse fra Datatilsynet til advarselsregistre, kreditoplysningsbureauer og retsinformationssystemer videreføres. Området for forudgående tilladelse kan udvides ved bekendtgørelse.

  18. Det nuværende model for Datatilsynet - med et råd og et sekretariat - videreføres.

  19. Datatilsynet kan udstede administrative bøder.

Som nævnt er udkastet i offentlig høring, med frist for at give bemærkninger den 22. august 2017.

Hvis du vil vide mere

Plesner Persondata Team samler op på udkastet til lovforslag på to webinarer i starten af august. Webinarerne er naturligvis gratis og optages. Webinarerne målrettes privat og offentlig sektor.

Du kan tilmelde dig  her:

Privat sektor - onsdag den 9. august, kl. 8:45-9:45 - klik her

Offentlig sektor - torsdag den 10. august, kl. 8:45-9:45 - klik her

Du kan også deltage i vores heldagsseminar "Det skal du vide om persondataforordningen" d. 5. september 2017. Læs mere her.


Seneste nyt om Persondata

Persondata