Denne artikel gennemgår visse af de væsentligste bestemmelser i udkastet til lovforslag til databeskyttelseslov, som i begyndelsen af sommeren blev sendt i høring. Høringsfristen er 22. august 2017 – og det endelige lovforslag forventes fremsat i begyndelsen af oktober 2017. Artiklens fokus er på bestemmelserne, som vil være relevante for offentlige myndigheder og virksomheder, hvis de vedtages i endelig form.

Efter lang ventetid har Justitsministeriet 7. juli 2017 sendt et udkast til data­beskyttelseslov i høring. Data­beskyttelses­loven vil erstatte person­dataloven, som vil blive ophævet pr. 25. maj 2018, og vil sammen med person­dataforordningen og visse nationale særregler komme til at regulere, hvordan persondata skal og kan behandles fra og med den nævnte dato.

Dobbeltregulering

Udkastet til databeskyttelseslovens 48 paragraffer indeholder flere gengivelser af forordningens tekst, hvilket – hvis lovforslaget vedtages i denne form – vil indebære en dobbeltregulering. Det er angivet i lovforslaget, at bestemmelser fra forordningen er gengivet i lov­forslaget for at give et bedre overblik over den gældende retstilstand. Retsstillingen på området kan dog meget vel ende med at være meget kompleks, idet to lovtekster skal konsulteres og sammenlignes, førend man kan afgøre, hvad der er rets­stillingen på et område.

Bemærkningerne til lovforslaget angiver også, at lovforslaget i vidt omfang er en videreførelse af reglerne i den nugældende persondatalov.

Anvendelsesområde for databeskyttelsesloven

Justitsministeriet foreslår i lovforslaget, at persondataforordningen også skal anvendes på behandling af person­oplysninger på en række områder, hvor persondataforordningen ellers ikke uden videre ville gælde, men som i dag er omfattet af den nugældende person­datalov, f.eks. manuel videregivelse af personoplysninger mellem forvaltnings­myndigheder, behandling af oplysninger om virksomheder mv., hvis denne behandling udføres for kredit­oplysnings­bureauer, og al behandling af person­oplysninger i forbindelse med tv-overvågning.

Behandlingshjemmel

Efter forordningen må personoplysninger ikke viderebehandles på en måde, der er uforenelig med de formål, hvortil oplysningerne oprindeligt var indsamlet. Lovforslaget indeholder en bestemmelse, som opstiller en såkaldt “uforeneligheds­test,” dvs. bestemmelsen laver en nærmere oplistning af, hvilke momenter der skal indgå i vurderingen af, om en behandling er uforenelig i person­datalovens forstand.
Herudover indeholder udkastet til databeskyttelsesloven i vid ud­­strækning en videreførelse af reglerne i persondataloven om behandlings­hjemmel. Dog videre­føres person­data­lovens § 8 om følsomme oplysninger kun, for så vidt angår oplysninger om strafbare forhold.

Krigsreglen

Lovforslaget indeholder en regel (i § 3, stk. 9), som skal afløse den såkaldte “krigsregel” i person­datalovens § 41, stk. 4, som skal sikre imod fremmede magters misbrug af person­data. Den nye regel indebærer, at justitsministeren – efter forhandling med ressort­ministeren – kan fastsætte regler om, at person­oplysninger, der behandles i nærmere bestemte it-systemer, som føres af eller for den offentlige forvaltning, alene må op­bevares her i landet.


Det fremgår af bemærkningerne til lovforslaget, at det er hensigten, at listen over de it-systemer, som denne begrænsning skal gælde for, alene skal omfatte systemer, hvor det er vurderet, at det er af hensyn til statens sikkerhed, at systemet skal føres i Danmark.

DPO’er

Lovforslaget indeholder en bestemmelse, som pålægger databeskyttelses­rådgivere (DPO’er) for private virksomheder tavshedspligt i forhold til oplysninger, som de er blevet bekendt med som DPO’er.

Denne regel skal ikke gælde for offentligt ansatte. I forhold til offentlige ansatte henviser lovbemærkningerne til, at reglerne om tavshedspligt i forvaltnings­lovens § 27 og straffelovens § 152 og §§ 152 c-152 f allerede gælder for disse.

Lovforslaget lægger i øvrigt ikke op til at udvide området for, hvornår private skal udpege en databeskyttelses­rådgiver, hvilket ellers var en mulighed efter persondataforordningen.

Undtagelser til de registreredes rettigheder

Når private eller det offentlige indsamler personoplysninger, har den registrerede en række rettigheder, herunder ret til at blive oplyst om, at oplysningerne er indsamlet, og hvad de skal bruges til. Derudover har den registrerede ret til indsigt i de indsamlede oplysninger.

Persondataforordningen giver mulighed for, at disse rettigheder kan begrænses gennem national lovgivning under en række nærmere oplistede omstændig­heder. Denne bemyndigelse lægger lovforslaget op til at udnytte i forhold til oplysningspligten og indsigtsretten, ved, at der i § 22 er oplistet en lang række undtagelser til de to rettigheder.

Bestemmelsen i lovforslagets § 22 svarer stort set til persondatalovens nugældende regler om begrænsninger i den registreredes rettigheder, dog indeholder de nye bestemmelser få redaktionelle ændringer og præciseringer.

Tilladelseskravet

De nugældende krav om tilladelse eller godkendelse fra Datatilsynet, før iværksættelse af behandling af visse personoplysninger kan ske, bortfalder. Persondataforordningen indeholder ikke tilsvarende krav – men giver medlemsstaterne mulighed for at opretholde tilladelseskravet i visse situationer.

Lovforslaget indeholder krav om Datatilsynets forudgående tilladelse ved oprettelse af advarselsregistre, kreditoplysningsbureauvirksomhed, behandling som udelukkende finder sted med henblik på at føre rets­informations­systemer, og ved behandling af følsomme oplysninger af hensyn til væsentlige samfunds­interesser – dog gælder sidstnævnte tilladelseskrav ikke for offentlige myndigheder.

Lovforslaget lægger også op til, at Justitsministeriet får bemyndigelse til ved bekendtgørelse at udvide eller begrænse området for tilladelseskravet.

Sanktioner og bøder

Et af de mest omtalte aspekter ved persondataforordningen er de høje bøderammer, den foreskriver.

Forordningen giver dog hver medlems­stat mulighed for at fastsætte regler om, hvorvidt og i hvilket omfang bøder skal kunne pålægges offentlige myndigheder og organer. Lovforslaget, der er i høring, bringer imidlertid ikke klarhed over, hvad der kan forventes på denne front i Danmark. Det fremgår således blot af forslagets § 41, stk. 5, at “[stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår]”.
Selve pålæggelsen af bøder har førhen krævet en afgørelse fra domstolene. I praksis har Datatilsynet anmeldt lovovertræder til politiet. Hvis politiet derefter rejste sigtelse, kunne dom­stolsbehandling undgås, hvis den skyldige vedtog et bødeforlæg. I lov­forslagets § 42 foreslås det, at Datatilsynet skal kunne udstede administrative bødeforlæg, så bøder kan udstedes uden involvering af politi og domstole, hvis den, der har begået overtrædelsen, erklærer sig skyldig i overtrædelsen og erklærer sig rede til at betale bøden. Datatilsynets kompetence til at udstede bødeforlæg vil være begrænset til ukomplicerede sager, hvor der ikke er bevismæssige tvivls­spørgsmål, f.eks. sager om utilsigtet offentliggørelse af oplysninger på internettet.

I øvrigt indeholder udkastet til data­beskyttelsesloven en nyskabelse, ved at Datatilsynet har fået mulighed for at indbringe spørgsmål om overtrædelse af databeskyttelsesloven for dom­stolene i den borgerlige retsplejes former, dvs. efter retsplejelovens regler om civile sager.

Horten følger den nærmere lovgivnings­proces for databeskyttelses­loven og vil orientere herom løbende.

Forfattere

Mads Nygaard Madsen

Partner

Charlotte Kunckel

Specialistadvokat