Der er nu fremsat lovforslag til behandling af persondata

Justitsministeriet har den 25. oktober fremsat lovforslag til databeskyttelsesloven for Folketinget. Loven vil sammen med databeskyttelsesforordningen (persondataforordningen) og visse nationale særregler komme til at regulere, hvordan persondata skal og kan behandles fra 25. maj 2018.

Lovforslaget indeholder i hovedtræk følgende:

Bøder til det offentlige

Offentlige myndigheder skal kunne idømmes bøder, idet der i bemærkningerne til lovforslaget forudsættes et bødeloft på 4 procent af en myndigheds driftsbevilling, dog maksimalt 16 millioner kroner. Det præciseres i lovforslaget, at det lavere bødeloft for offentlige myndigheder ikke gælder for private databehandlere, der behandler oplysninger for det offentlige, f.eks. en privat driftsleverandør.

Videregivelse af personoplysninger til markedsføring

De nuværende regler om videregivelse af almindelige personoplysninger fra en virksomhed til en anden virksomhed til markedsføringsformål videreføres. Denne regel virker umiddelbart som værende i strid med persondataforordningen. Det forventes derfor umiddelbart, at dette forslag vil blive revideret i forbindelse med Folketingets behandling.

Behandling af personoplysninger som led i personaleadministration

De nuværende regler om behandling af personoplysninger som led i personaleadministration videreføres.

Der lægges i lovforslaget op til at supplere databeskyttelsesforordningen ved at tillade behandling af følsomme oplysninger som led i personaleadministration på baggrund af en interesseafvejning.

Videre fastslår lovforslaget, at samtykke kan anvendes som grundlag for behandling af personoplysninger i forbindelse med personaleadministration. Lovforslaget viderefører derfor holdningen i Justitsministeriets betænkning om databeskyttelsesforordningen på trods af, at Artikel 29-gruppen ved flere lejligheder har stillet spørgsmålstegn ved brugen af samtykke i ansættelsesforhold.

Udpegning af DPO

Hjemlen i forordningen til at udvide kredsen af de virksomheder, som skal udpege en DPO, udnyttes ikke i lovforslaget.

Kategorien semi-følsomme personoplysninger udgår

Oplysninger om væsentlige sociale problemer og andre rent private forhold skal fremadrettet behandles som almindelige personoplysninger. Den tidligere danske særregel omkring semi-følsomme oplysninger udgår derfor af lovgivningen fra den 25. maj 2018.

”Krigsreglen” 

Lovforslaget lægger op til at bløde op på den såkaldte krigsregel, som efter den nuværende persondatalov fastsætter, at større offentlige registre, der indeholder personoplysninger, skal opbevares i Danmark. Fremadrettet skal Justitsministeriet efter forhandling med den relevante minister fastsætte regler om, ”at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, alene må opbevares her i landet”.

Undtagelser til oplysningspligt og indsigtsret

For private dataansvarlige gælder den dataansvarliges oplysningspligt samt den registreredes indsigtsret ikke, “hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv”.

Reglen er væsentlig, idet databeskyttelsesforordningen ikke indeholder nogen reelle undtagelser til indsigtsretten. Reglen kan f.eks. være relevant i forbindelse med private dataansvarliges behandling af henvendelser fra “whistleblowere” og andre interne undersøgelser – hvor opfyldelsen af oplysningspligten kan udsættes og anmodninger om indsigt afslås, mens undersøgelserne står på.

Et andet eksempel på en privat interesse, der kan begrunde hemmeligholdelse af oplysninger om behandlingen, er ifølge lovbemærkningerne beskyttelse af forretningshemmeligheder.

Offentlige myndigheder har ikke pligt til at efterleve reglerne i databeskyttelsesforordningen om indsigts- og indsigelsesret, hvis “den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser [..]”, herunder hensynet til statens sikkerhed, forsvaret, offentlig sikkerhed og efterforskning af strafbare handlinger.

TV-overvågning

Databeskyttelsesloven og databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger i forbindelse med tv-overvågning. De nuværende regler i persondataloven vedrørende behandling af personoplysninger i forbindelse med tv-overvågning foreslås videreført i tv-overvågningsloven.

Forældelse

Forældelsesfristen for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven er 5 år.

Samkøring i kontroløjemed for det offentlige

Kravet om særskilt lovhjemmel og forudgående høring af Datatilsynet i forbindelse med samkøring af offentlige registre fjernes.

Kreditoplysningsbureauer og advarselsregistre

De nuværende regler om kreditoplysningsbureauer og advarselsregistre videreføres. Databeskyttelseslovens kapitel 4 om videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige gælder også for behandling af oplysninger om virksomheder mv. Databeskyttelsesloven og databeskyttelsesforordningens anvendelse af oplysninger om virksomheder kan udvides ved bekendtgørelse.

CPR-numre

Reglerne om behandling af cpr-numre videreføres for offentlige myndigheder og private virksomheder. Dog udvides behandlingshjemlen, så behandling af cpr-numre også kan ske med hjemmel i databeskyttelsesforordningens artikel 9 om behandling af følsomme oplysninger.

Behandling af oplysninger om strafbare forhold

Lovforslaget viderefører reglerne om behandling af strafbare forhold for både offentlige og private dataansvarlige.

Aldersgrænse for samtykke til brug af informationssamfundstjenester

Aldersgrænsen for samtykke fra børn og unge til brug af informationssamfundstjenester (sociale medier, apps m.v.) sættes til 13 år. Hvis barnet er under 13 år, skal samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

Afdøde personer 

Lovforslaget udvider beskyttelsesområdet i databeskyttelsesforordningen til også at omfatte afdøde personer i 10 år efter vedkommendes død. Reglen kan ændres ved en bekendtgørelse.

Anmeldelse til Datatilsynet af advarselsregistre, kreditoplysningsbureauer og retsinformationssystemer

Kravet om forudgående tilladelse fra Datatilsynet til advarselsregistre, kreditoplysningsbureauer og retsinformationssystemer videreføres. Området for forudgående tilladelse kan udvides ved bekendtgørelse.

Datatilsynet

Den hidtidige model for Datatilsynet med et råd og et sekretariat videreføres.

Massemedier og ytringsfrihed

Reguleringen af forholdet mellem persondatabeskyttelse og ytringsfrihed, herunder massemediernes forhold, reguleres som under de gamle regler i vidt omfang uden for databeskyttelseslovgivningen.

Overførsel til arkiv

Reglerne for overførsel til arkivering efter arkivlovgivningen videreføres.

Offentlige myndigheders behandling til nyt formål udvides

Databeskyttelsesloven åbner op for, at vedkommende minister efter forhandling med justitsministeren kan beslutte, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed. Endvidere begrænses det offentliges oplysningspligt ved behandling til et nyt formål, idet den registrerede ikke i denne situation har krav på at blive oplyst om behandling til dette nye formål.

Forbud mod overførsel af følsomme oplysninger til tredjelande

Datatilsynet kan i særlige tilfælde forbyde overførsel af følsomme personoplysninger til usikre tredjelande.

Administrative bødeforlæg

Datatilsynet kan udstede administrative bødeforlæg i ukomplicerede sager. I alle andre tilfælde skal sager om straf for overtrædelse af databeskyttelsesreglerne i form af bøder behandles ved domstolene.

Læs hele lovforslaget her

Tilmeld dig DreistStorgaards gratis gå-hjem møde om de nye persondataregler den 9. november 2017, kl. 17.00 – 18.30…læs mere