Længeventet regelsæt: Få indblik i lovforslaget til ny dansk databeskyttelseslov

Regeringen har fremsat et lovforslag, som indeholder de nationale regler, der skal supplerer EU-Databeskyttelsesforordningen og dermed reglerne om, hvordan persondata skal behandles efter 25. maj 2018. Lovforslaget er i vidt omfang en videreførelse af de gældende regler i persondataloven, men rummer dog en række ændringer.

Med virkning pr. 25. maj 2018 træder EU-Databeskyttelsesforordningen, populært betegnet Persondataforordningen, i kraft. Forordningen regulerer på EU-niveau, hvordan persondata skal behandles. Forordningen er almengyldig, og er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat. Forordningen overlader dog medlemsstaterne et nationalt råderum til at fastsætte supplerende regler på en lang række områder. På visse områder har medlemsstaterne en pligt til at fastsætte supplerende regler, mens det på andre områder er frivilligt.

Regeringen fremsatte den 25. oktober 2017 lovforslaget, som fastsætter de nationale supplerende regler til Databeskyttelsesforordningen i en generel lov.

En videreførelse af de gældende regler i persondataloven

Lovforslaget er i vidt omfang et forsøg på at sørge for, at den gældende retstilstand i videst muligt omfang kan fortsætte. Der er dog flere ændringer i lovforslaget, blandt andet indføres der en bestemmelse, som begrænser den registreredes rettigheder, ligesom der kommer en bestemmelse om tavshedspligt for databeskyttelsesrådgivere (DPO’ere) og en bestemmelse for akkreditering af certificeringsorganer.

Blandt de øvrige ændringer er:

  • at der indføres en særlig hjemmel for behandling af personoplysninger i ansættelsesforhold for at udfylde og supplere Databeskyttelsesforordningens regler, ligesom der indføres en bestemmelse om genanvendelse af personoplysninger, der sikrer, at genanvendelse kan ske i samme omfang som i dag
  • at forslaget og databeskyttelsesforordningen som udgangspunkt skal finde anvendelse på afdøde personer i 10 år fra vedkommendes død
  • at forslaget og databeskyttelsesforordningen skal finde anvendelse på Folketinget, når der ikke sker parlamentarisk arbejde og betjening
  • at den danske ”krigsregel”, hvorefter der for oplysninger, der behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold bibeholdes og omformuleres
  • at aldersgrænsen for reglerne om børns samtykke foreslås fastsat til 13 år, der er den laveste alder, som Databeskyttelsesdirektivet giver mulighed for.

Endeligt ændres reglerne om tilladelse og anmeldelse, så det i videre omfang overlades til den dataansvarlige selv at sikre, at behandlingen er i overensstemmelse med reglerne.

Hele lovforslaget kan læses her.

Er din virksomhed klar til de nye regler?

Loven gennemfører supplerende regler til Databeskyttelsesforordningen, som derved får betydning for den fremtidige behandling af persondata i Danmark. Virksomheder, der ønsker at være i compliance med gældende ret efter den 25. maj 2018, skal således overholde både EU-Databeskyttelsesforordningen og den danske databeskyttelseslov.

TVC Advokatfirmas specialister vil løbende publicere artikler, der mere specifikt behandler relevante bestemmelser i lovforslaget, senere i lovgivningsprocessen. Vores anbefaling er, at virksomheder allerede i dag aktivt forholder sig til de kommende regler, og vi står naturligvis parate til at hjælpe hermed. Læs mere i vores fokusområde om persondata.

Læs også vores Q&A: 10 ofte stillede spørgsmål om databeskyttelsesforordningen (GDPR)

Læs mere