Ny persondatalov supplerer EU-forordning

3. juni 2018
Emner: IT-revision og -sikkerhedsrådgivning

Den 23. maj 2018 blev en ny databeskyttelseslov endeligt vedtaget i Folketinget . Læs her om sammenhængen mellem EU-forordning og dansk lov og et par af de væsentligste bestemmelser i loven.

EU’s databeskyttelsesforordning – i daglig tale persondataforordningen eller GDPR (den engelske forkortelse) – har direkte virkning i Danmark. Derfor må der i princippet ikke være anden dansk lovgivning på det samme område. Der er dog en række områder, hvor de enkelte lande kan supplere forordningen og fastsætte egne regler. I Danmark er det gjort i den nye databeskyttelseslov, der den 25. maj 2018 erstatter den hidtil gældende persondatalov. Den hedder lov nr. 502 af 23. maj 2018.

I denne artikel præsenterer vi nogle af de forhold, som er reguleret med den nye databeskyttelseslov:

CPR: Personnummer kan indgå i databehandlingen hos private dataansvarlige, hvis de lever op til kravene om undtagelser til forbuddet mod behandling af følsomme personoplysninger. I loven gøres det også helt klart, at personnumre aldrig må offentliggøres (§ 11, stk. 2 & 3).

Børns brug af hjemmesider m.v.: Det bliver lovligt at behandle personoplysninger om et barn ved ”udbud af informationssamfundstjenester” (dvs. sociale medier o.l.), hvis barnet er mindst 13 år. Hvis barnet er under 13 år, skal der gives samtykke eller godkendelse af indehaveren af forældremyndigheden over barnet (§ 6, stk. 2 & 3). Hvis der ikke var blevet lovgivet om dette, ville grænsen have været de 16 år, som følger af forordningen. 

Tv-overvågning: Loven præciserer, at forordningen også gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning (§ 2, stk. 4).

”Krigsreglen” lempes: Det betyder, at offentlige myndigheder får bedre muligheder for at opbevare kritiske data uden for landets grænser (§ 3, stk. 9).

Beierholm forhandling højformat


Derudover kan disse ændringer måske være relevante for dig og din virksomhed:

  • Oplysninger om afdøde personer beskyttes i op til 10 år fra de pågældendes død (§ 2, stk. 5). Forordningen omfatter ikke afdøde personer, så dette er en væsentlig forskel.
  • Der indføres en særlig hjemmel (den registreredes samtykke) for behandling af personoplysninger i ansættelsesforhold (§ 12 stk. 3). Dette er i overensstemmelse med forordningen.

Slutteligt skal det handle kort om bøder.
I Danmark går vi fra bøder ved overtrædelse af lovgivningen på mellem kr. 2.000 og 25.000 til bøder på op til EUR 20 mio. eller 4% af den årlige globale omsætning. Det ændrer den nye lov ikke på, dog er det værd at bemærke denne udtalelse fra kontrolmyndigheden, Datatilsynet: "Det er ikke fordi, vi nu vil ud og give bøder til højre og venstre. Generelt ønsker vi en pragmatisk tilgang til databeskyttelse. Det væsentlige er, at virksomhederne bliver bedre til at håndtere opgaven," siger Allan Frank, sikkerhedsspecialist i Datatilsynet, til Dansk Industris medlemsmagasin, DI Business.

Du kan finde links til databeskyttelsesforordningen og persondataloven ved at klikke her

Podcast for SMV'er om GDPR-regler

Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.