Justitsministeriet har i juli måned sendt det tidligere varslede lovforslag til en ny databeskyttelseslov i høring. Loven kommer til at gælde for behandling af personoplysninger, der foretages som et led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, der er etableret i Danmark.

Der er tale om en lov, der supplerer den allerede vedtagne persondataforordning. Baggrunden herfor er, at der er enkelte områder, som er undtaget fra forordningens anvendelsesområde, ligesom der er en række bestemmelser i forordningen, hvor det er overladt til det enkelte medlemsland at lave supplerende eller udfyldende regler.

Fremover vil den relevante persondatalovgivning i Danmark derfor bestå både af persondataforordningen, databeskyttelsesloven og de eventuelle bekendtgørelser, der udstedes i medfør heraf.

Lovforslaget indeholder derfor en række konkrete og supplerende behandlingsregler, altså regler om hvornår en virksomhed i bestemte situationer må behandle personoplysninger. Eksempelvis indeholder lovforslaget en regel om, at offentlige myndigheder fortsat kan behandle oplysninger om personnumre med henblik på en entydig identifikation eller som journalnummer.

En del af lovforslaget er dog også blot afskrift af regler i persondataforordningen, men dette betyder ikke, at loven træder i stedet for forordningen. EU har blot tilladt, at der i et vist omfang sker en gengivelse af reglerne i forordningen i den danske lovtekst.

Derudover er den hidtidige danske særregel om videregivelse af almindelige personoplysninger fra en virksomhed til en anden virksomhed til markedsføringsformål videreført i lovforslaget, selvom der har været en diskussion om, hvorvidt en sådan regel overhovedet kan opretholdes.

Lovforslaget indeholder ligeledes regler om begrænsninger i den registreredes rettigheder, herunder eksempelvis hvornår der ikke gælder en oplysningspligt overfor den registrerede. Dette kan i praksis blive meget relevant for virksomheder, som ellers normalt i alle sammenhænge er pålagt at give den registrerede en række oplysninger.

Der er ikke i lovforslaget medtaget noget forslag om, hvorvidt offentlige myndigheder skal kunne pålægges straf for overtrædelse af databeskyttelsesloven og forordningen. Dette spørgsmål er i stedet for udskudt til videre politisk drøftelse.

Derudover er der i bemærkningerne til lovforslaget også medtaget nogle retningslinjer i forhold til bødefastsættelsen, herunder hvad der kan lægges vægt på ved bødeudmålingen. I lovforslaget nævnes eksempelvis overtrædelsens karakter, alvor og varighed, hvilke foranstaltninger der er truffet for at begrænse den forvoldte skade, graden af ansvar eller eventuelle tidligere overtrædelser samt måden, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen.

Du kan læse lovforslaget og bemærkningerne her

Høringsperioden for lovforslaget løber frem til den 22. august 2017. Herefter fortsætter det videre arbejde med at vedtage loven, som forventes at træde i kraft den 25. maj 2018, hvilket hænger naturligt sammen med, at persondataforordningen også finder anvendelse fra denne dato.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har din virksomhed brug for rådgivning om håndtering af persondata?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt for at aftale et uforpligtende møde.