Efter lang ventetid har Justitsministeriet 7. juli 2017 sendt et udkast til databeskyttelseslov i høring. Databeskyttelsesloven vil erstatte persondataloven, som vil blive ophævet pr. 25. maj 2018, og vil sammen med persondataforordningen og visse nationale særregler komme til at regulere, hvordan persondata skal og kan behandles fra og med den nævnte dato.
Dobbeltregulering
Udkastet til databeskyttelseslovens 48 paragraffer indeholder flere gengivelser af forordningens tekst, hvilket – hvis lovforslaget vedtages i denne form – vil indebære en dobbeltregulering. Det er angivet i lovforslaget, at bestemmelser fra forordningen er gengivet i lovforslaget for at give et bedre overblik over den gældende retstilstand. Retsstillingen på området kan dog meget vel ende med at være meget kompleks, idet to lovtekster skal konsulteres og sammenlignes, førend man kan afgøre, hvad der er retsstillingen på et område.
Bemærkningerne til lovforslaget angiver også, at lovforslaget i vidt omfang er en videreførelse af reglerne i den nugældende persondatalov.
Anvendelsesområde for databeskyttelsesloven
Justitsministeriet foreslår i lovforslaget, at persondataforordningen også skal anvendes på behandling af personoplysninger på en række områder, hvor persondataforordningen ellers ikke uden videre ville gælde, men som i dag er omfattet af den nugældende persondatalov, f.eks. manuel videregivelse af personoplysninger mellem forvaltningsmyndigheder, behandling af oplysninger om virksomheder mv., hvis denne behandling udføres for kreditoplysningsbureauer, og al behandling af personoplysninger i forbindelse med tv-overvågning.
Behandlingshjemmel
Efter forordningen må personoplysninger ikke viderebehandles på en måde, der er uforenelig med de formål, hvortil oplysningerne oprindeligt var indsamlet. Lovforslaget indeholder en bestemmelse, som opstiller en såkaldt “uforenelighedstest,” dvs. bestemmelsen laver en nærmere oplistning af, hvilke momenter der skal indgå i vurderingen af, om en behandling er uforenelig i persondatalovens forstand.
Herudover indeholder udkastet til databeskyttelsesloven i vid udstrækning en videreførelse af reglerne i persondataloven om behandlingshjemmel. Dog videreføres persondatalovens § 8 om følsomme oplysninger kun, for så vidt angår oplysninger om strafbare forhold.
Krigsreglen
Lovforslaget indeholder en regel (i § 3, stk. 9), som skal afløse den såkaldte “krigsregel” i persondatalovens § 41, stk. 4, som skal sikre imod fremmede magters misbrug af persondata. Den nye regel indebærer, at justitsministeren – efter forhandling med ressortministeren – kan fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte it-systemer, som føres af eller for den offentlige forvaltning, alene må opbevares her i landet.
Det fremgår af bemærkningerne til lovforslaget, at det er hensigten, at listen over de it-systemer, som denne begrænsning skal gælde for, alene skal omfatte systemer, hvor det er vurderet, at det er af hensyn til statens sikkerhed, at systemet skal føres i Danmark.
DPO’er
Lovforslaget indeholder en bestemmelse, som pålægger databeskyttelsesrådgivere (DPO’er) for private virksomheder tavshedspligt i forhold til oplysninger, som de er blevet bekendt med som DPO’er.
Denne regel skal ikke gælde for offentligt ansatte. I forhold til offentlige ansatte henviser lovbemærkningerne til, at reglerne om tavshedspligt i forvaltningslovens § 27 og straffelovens § 152 og §§ 152 c-152 f allerede gælder for disse.
Lovforslaget lægger i øvrigt ikke op til at udvide området for, hvornår private skal udpege en databeskyttelsesrådgiver, hvilket ellers var en mulighed efter persondataforordningen.
Undtagelser til de registreredes rettigheder
Når private eller det offentlige indsamler personoplysninger, har den registrerede en række rettigheder, herunder ret til at blive oplyst om, at oplysningerne er indsamlet, og hvad de skal bruges til. Derudover har den registrerede ret til indsigt i de indsamlede oplysninger.
Persondataforordningen giver mulighed for, at disse rettigheder kan begrænses gennem national lovgivning under en række nærmere oplistede omstændigheder. Denne bemyndigelse lægger lovforslaget op til at udnytte i forhold til oplysningspligten og indsigtsretten, ved, at der i § 22 er oplistet en lang række undtagelser til de to rettigheder.
Bestemmelsen i lovforslagets § 22 svarer stort set til persondatalovens nugældende regler om begrænsninger i den registreredes rettigheder, dog indeholder de nye bestemmelser få redaktionelle ændringer og præciseringer.
Tilladelseskravet
De nugældende krav om tilladelse eller godkendelse fra Datatilsynet, før iværksættelse af behandling af visse personoplysninger kan ske, bortfalder. Persondataforordningen indeholder ikke tilsvarende krav – men giver medlemsstaterne mulighed for at opretholde tilladelseskravet i visse situationer.
Lovforslaget indeholder krav om Datatilsynets forudgående tilladelse ved oprettelse af advarselsregistre, kreditoplysningsbureauvirksomhed, behandling som udelukkende finder sted med henblik på at føre retsinformationssystemer, og ved behandling af følsomme oplysninger af hensyn til væsentlige samfundsinteresser – dog gælder sidstnævnte tilladelseskrav ikke for offentlige myndigheder.
Lovforslaget lægger også op til, at Justitsministeriet får bemyndigelse til ved bekendtgørelse at udvide eller begrænse området for tilladelseskravet.
Sanktioner og bøder
Et af de mest omtalte aspekter ved persondataforordningen er de høje bøderammer, den foreskriver.
Forordningen giver dog hver medlemsstat mulighed for at fastsætte regler om, hvorvidt og i hvilket omfang bøder skal kunne pålægges offentlige myndigheder og organer. Lovforslaget, der er i høring, bringer imidlertid ikke klarhed over, hvad der kan forventes på denne front i Danmark. Det fremgår således blot af forslagets § 41, stk. 5, at “[stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår]”.
Selve pålæggelsen af bøder har førhen krævet en afgørelse fra domstolene. I praksis har Datatilsynet anmeldt lovovertræder til politiet. Hvis politiet derefter rejste sigtelse, kunne domstolsbehandling undgås, hvis den skyldige vedtog et bødeforlæg. I lovforslagets § 42 foreslås det, at Datatilsynet skal kunne udstede administrative bødeforlæg, så bøder kan udstedes uden involvering af politi og domstole, hvis den, der har begået overtrædelsen, erklærer sig skyldig i overtrædelsen og erklærer sig rede til at betale bøden. Datatilsynets kompetence til at udstede bødeforlæg vil være begrænset til ukomplicerede sager, hvor der ikke er bevismæssige tvivlsspørgsmål, f.eks. sager om utilsigtet offentliggørelse af oplysninger på internettet.
I øvrigt indeholder udkastet til databeskyttelsesloven en nyskabelse, ved at Datatilsynet har fået mulighed for at indbringe spørgsmål om overtrædelse af databeskyttelsesloven for domstolene i den borgerlige retsplejes former, dvs. efter retsplejelovens regler om civile sager.