I DLA Piper kan vi rådgive dig, så du ved, hvordan du og din virksomhed skal forholde jer til databeskyttelsesloven.
Databeskyttelse
Databeskyttelsesloven trådte i kraft i 2018 som et supplement til databeskyttelsesforordningen, hvilket også fremgår af lovens § 1. En forordning kan normalt ikke suppleres af nationale regler, da formålet med denne retskilde er at harmonisere retstilstanden i EU.
Databeskyttelsesforordningen indeholder dog regler, der giver medlemsstaterne adgang til at indføre egne regler på visse områder. Et eksempel herpå er art. 6, stk. 2 i forordningen, hvorefter medlemsstaterne må indføre mere specifikke sagsbehandlingsregler end forordningens på bestemte områder.
Hensynene bag loven
Reglerne om databeskyttelse afspejler flere vigtige, men også modsatrettede hensyn. På den side tilsiger hensynene til individets privatliv og individets ret til at forme sin personlighed udadtil, en begrænset adgang til at databehandle personoplysninger.
På den anden står flere tungtvejende hensyn, herunder hensynet til en effektiv forvaltning og til virksomhedernes adgang til direkte markedsføring.
Centrale begreber i databeskyttelsesretten
I databeskyttelsesretten opereres der med tre centrale begreber. Disse er den ”registrerede”, den ”dataansvarlige” og ”databehandleren”.
Den registrerede er den fysiske person, hvis personoplysninger bliver behandlet, og som efter loven er tillagt en række rettigheder. Den dataansvarlige er den enhed, som vælger hvorvidt, hvordan og hvornår der skal databehandles, og som er efter loven er underlagt en række forpligtelser.
I de tilfælde, hvor den dataansvarlige vælger at uddelegere databehandlingen til en tredjemand, betegnes sidstnævnte som ”databehandleren”. Denne er også underlagt en række forpligtelser.
Lovens anvendelsesområde
Databeskyttelsesloven regulerer adgangen til at behandle personoplysninger.
Loven præciserer ikke, hvad begreberne ”personoplysning” og ”behandling” omfatter, men da loven er et supplement til forordningen, jf. § 1, skal begreberne fortolkes i overensstemmelse med denne. En personoplysning er herefter en oplysning om en ”identificeret” eller ”identificerbar” fysisk person. Det følger heraf, at reglerne ikke gælder for oplysninger vedrørende juridiske personer.
Ved ”identificerbar” forstås, at en fysisk person kan identificeres ved hjælp af personoplysningen, uden at personens identitet direkte fremgår. Ved ”behandling” forstås enhver handling, der vedrører personoplysninger, eksempelvis indsamling, brug, videregivelse mv.
Loven finder kun anvendelse ved ”automatisk” behandling af personoplysninger samt ved ikke-automatisk behandling, hvis oplysningerne bliver indeholdt i et register, jf. lovens § 1, stk. 2.
Kravet om ”automatisk” behandling er opfyldt, hvis personoplysningerne bliver behandlet digitalt. Det følger dog ligeledes af § 1, stk. 2, at reglerne ikke finder anvendelse, hvis behandlingen sker som led i ”rent personlige eller familiemæssige aktiviteter”.
Loven finder endvidere kun anvendelse på dataansvarlige og databehandlere, der er etableret i Danmark, jf. lovens § 4. Dette gælder, uanset om behandlingen finder sted i EU eller ej.
Særregler i databeskyttelsesloven
At databeskyttelsesloven kun supplerer databeskyttelsesforordningen medfører, at det primært er forordningens regler, der finder anvendelse i praksis. Loven indeholder dog nogle særregler om behandling af personoplysninger. Disse er oplistet i §§ 8, 11 og 13.
Lovens § 8 omhandler oplysninger om strafbare forhold. Det fremgår af stk. 2 og stk. 3, at private kun må behandle og videregive oplysninger om strafbare forhold, hvis den registrerede har givet samtykke.
Efter § 11 må private kun behandle oplysninger om cpr-numre, hvis det enten følger af lovgivningen, hvis der er indhentet samtykke fra den registrerede, hvis behandlingen forfølger statistiske eller videnskabelige formål, eller hvis behandlingen består i videregivelse, og denne videregivelse er et naturligt led af virksomhedens normale drift.
Den sidste særregel i § 13 vedrører en virksomheds videregivelse af personoplysninger om en forbruger til en anden virksomhed, hvis oplysningerne skal bruges til direkte markedsføring. En videregivelse af denne art er kun lovlig, hvis forbrugeren har givet samtykke til dette. Man skal her være opmærksom på, at kravet kun er gældende, når personoplysningerne vedrører en forbruger og altså ikke ved enhver fysisk person.
De danske særregler skal ses i sammenhæng med reglerne om lovlig databehandling i databeskyttelsesforordningens art. 6. (Se ”GDPR-regler”). Hvis en behandling vedrører en af de tre nævnte typer af personoplysninger, finder art. 6 i forordningen ikke anvendelse. Behandlingen er derfor kun lovlig, hvis de specifikke krav i databeskyttelsesloven er iagttaget.
Sanktioner
Der er tre typer af sanktioner knyttet til overtrædelser af databeskyttelsesloven. Disse er erstatning, godtgørelse og bøde.
Erstatning er hjemlet i databeskyttelseslovens § 40, der henviser til databeskyttelsesforordningens art. 82. Ifølge art. 82 har enhver, der har lidt materiel eller immateriel skade, ret til erstatning. Før der kan tildeles erstatning, skal det kunne påvises, at den krænkede har lidt et økonomisk tab.
Den anden sanktion er godtgørelse. For at kræve godtgørelse er det ikke en nødvendig betingelse, at der foreligger et økonomisk tab, modsat ved erstatningssanktionen. Hjemlen til godtgørelse følger af den generelle bestemmelse i erstatningsansvarslovens § 26. Efter bestemmelsen skal enhver, der retsstridigt har krænket en andens frihed, fred, ære eller person betale en godtgørelse til den krænkede. Denne type krænkelse kaldes også fort tort.
Den krænkende part kan desuden ifalde et strafferetligt ansvar i form at et bødeansvar. Dette følger af databeskyttelseslovens § 41. Bøden fastsættes ud fra et grundbeløb. Grundbeløbet varierer afhængigt af lovovertrædelsen. Når grundbeløbet er fastsat, justeres beløbet ud fra overtrædelsens grovhed og varighed i det konkrete tilfælde. Her inddrages sagens skærpende eller formildende omstændigheder.
Det højeste grundbeløb er 30. mio. kr. for de groveste overtrædelser begået af de største virksomheder og 30.000 kr. ved de mindst alvorlige overtrædelser begået af de mindste virksomheder.
Hvad du skal være opmærksom på
Hvis din virksomhed behandler personoplysninger digitalt eller i et registrer, og er etableret i Danmark, er den omfattet af databeskyttelsesloven. Dette betyder, at hvis virksomheden behandler personoplysninger som angivet i §§ 8, 11 og 13 (se ovenfor), skal kravene i disse bestemmelser iagttages. En manglende iagttagelse kan medføre et erstatningsansvar, at ansvar for tort og/eller en bøde.
Podcast
Lyt til vores podcast-serie På forkant med juraen og bliv klogere på de nye krav til dataetik-politik og på, hvordan vi forholder os etisk til vores brug af data.