Databeskyttelseslov vedtaget

Af Selskabsadvokaterne

Den 17. maj 2018 har Folketinget vedtaget den danske databeskyttelseslov. Loven supplerer og gennemfører databeskyttelsesforordningen i Danmark. Loven og forordningen (også benævnt GDPR) træder i kraft den 25. maj 2018, og inden denne dato er det vigtigt, at du har styr på en række ting, herunder processer, politikker og retningslinjer for håndtering af personoplysninger, databehandleraftaler, samt håndtering af  henvendelser fra en registreret m.v. 

Nedenfor vil du kort blive oplyst om nogle vigtige punkter i databeskyttelsesloven. 

Databeskyttelsesloven

Materielle anvendelselsesområde

Det bestemmes i den danske databeskyttelseslov, at loven og databeskyttelsesforordningen også gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning. Behandling af personoplysninger ved anvendelse af tv-overvågning skal derfor overholde forordningens og lovens krav, herunder i relation til kravet om databehandleraftaler, og den registreredes rettigheder. 

Ifølge databeskyttelsesforordningen, er udgangspunktet, at forordningen ikke finder anvendelse på personoplysninger om afdøde personer, men det er muligt at hver medlemsstat kan fastsætte regler for behandling af personoplysninger om afdøde personer. 

I Danmark har man valgt, at der skal gælde et udgangspunkt om, at loven og forordningen skal finde anvendelse på oplysninger om afdøde personer i 10 år efter vedkommendes død! Der er tale om en væsentlig skærpelse i forhold til forordningens udgangspunkt, som det er vigtigt, at du er opmærksom på. 

Geografisk anvendelsesområde

Databeskyttelsesloven, gælder for behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Danmark. Det er uden betydning, om behandlingen af personoplysninger foregår i andet sted i EU. 

Derudover gælder loven for den behandling, som udføres for danske diplomatiske repræsentationer. 

Loven gælder også for behandling af personoplysninger om registrerede, der befinder sig i Danmark, selvom den dataansvarlige/databehandleren ikke er etableret i EU, hvis behandlingsaktiviteten vedrører udbud af varer eller tjenester til registrerede i Danmark, eller overvågning sker af sådan registrerede for deres adfærd i Danmark. 

Behandlingsregler 

Ved behandling af personoplysninger, er det speicifikt anført, at oplysningerne skal indsamles til udtrykkeligt angivne og legitime formål, og ikke må viderebehandles på en måde, der er uforenelig med disse formål. 

For at kunne vurdere, om behandlingen til et nyt formål er foreneligt med det oprindelige formål, skal der tages hensyn til: 

- Enhver forbindelse mellem de to formål 

- Sammenhængen, hvori personoplysningerne blev indsamlet, navnlig forholdet mellem den registrerede og den dataansvarlige

- personoplysningernes art (almindelige personoplysninger, følsomme personoplysninger eller straffedomme)

- Den påtænkte viderebehandlings mulige konsekvenser for den registrerede

- Tilstedeværelsen af fornødne garantier, f.eks. kryptering og pseudonymisering

Derudover bestemmes det i loven, at behandling af personoplysninger må ske, hvis mindst én af betingelser i forordningens artikel artikel 6, stk 1, litra a-f er opfyldt, herunder som følge af et samtykke, en kontraktmæssig forpligtelse, en retlig forpligtelse, for at beskytte vitale interesser m.v.  

Man må behandle følsomme oplysninger (f.eks. oplysning om race eller etnisk oprindelige, politisk overbevisning m.v.), hvis betingelserne i forordningens artikel 9, stk. 2, litra a, c, d, e eller f, er opfyldt, herunder hvis det sker på baggrund af et udtrykkeligt samtykke, hvis det er nødvendigt for at beskytte vitale interesser, eller behandlingen er nødvendig, for at et retskrav kan fastlægges m.v. 

 Behandling af CPR-nummer

Ved loven er de gamle regler i persondataloven i væsentligt omfang videreført, hvorfor CPR-nummer skal behandles som en særlig personoplysning. 

Loven udvider dog anvendelsesområdet for, at private virksomheder kan behandle CPR-numre, når betingelserne i lovens § 7 er opfyldt (betingelserne for, hvornår man kan foretage behandling af følsomme personoplysninger). 

Det fremgår derfor at loven, at private må behandle oplysninger om CPR-nummer, når: 

- Det følger af lovgivningen

- Den registrerede har givet samtykke hertil i overensstemmelse med forordningens artikel 7. 

- Behandlingen finder sted til videnskabelige eller statistiske formål eller, videregivelse, når dette er et naturligt led i den normale drift af virksomheder af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller vidergivelsen kræves af en offentlig myndighed, eller 

- betingelserne i § 7 omkring betingelser for behandling af følsomme personoplysninger er opfyldt. 

Som forventet sidestiller loven i et vist omfang CPR-nummer med følsomme oplysninger. Loven bestemmer blandt andet, at CPR-nummer kun må offentliggøres, hvis der er givet samtykke hertil i overensstemmelse med forordningens artikel 7 (reglerne for følsomme oplysninger). 

Samspillet med markedsføringsloven

Lovens § 13 beskriver den fremgangsmåde, som den dataansvarlige virksomhed skal følge, for at sikre sig, at forbrugeren ikke har gjort indsigelse mod, at generelle kundeoplysninger om vedkommende videregives til en anden virksomhed med henblik på direkte markedsføring. Reglerne gælder også, hvor den dataansvarlige virksomhed ikke videregiver oplysningerne til en anden virksomhed, men selv anvender oplysningerne på vegne af den anden virksomhed med henblik på direkte markedsføring. 

Det følger af loven, at en virksomhed ikke må videregive oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. I betænkningen er det præciseret, at videregivelse af følsomme personoplysninger til andre virksomheder aldrig må ske med henblik på direkte markedsføring, medmindre forbrugeren har givet samtykke hertil. 

Samtykke for videregivelse skal indhentes i overensstemmelse med markedsføringslovens § 10. 

Derudover er det vigtigt at være opmærksom på, at en virksomhed, hver gang den ønsker at videregive personoplysninger til andre virksomheder til brug ved direkte markedsføring - skal tjekke i CPR, om kunden har frabedt sig henvendelser i markedsføringsøjemed. Er dette tilfældet, må oplysningerne ikke videregives. 

Hvis kunden ikke har frabedt sig henvendelser i markedsføringsøjemed, skal virksomheden, senest på tidspunktet for den første kommunikation med den registrerede - udtrykkeligt gøre vedkommende opmærksom på retten til at gøre indsigelser mod behandling af vedkommendes personoplysninger til direkte markedsføring. 

Reglerne gælder også ved anvendelse af oplysningerne på vegne af en anden virksomhed med henblik på direkte markedsføring. 

Ansvar i henhold til databeskyttelsesloven

Enhver person, som har lidt materiel eller immateriel skade, som følge af behandling af personoplysninger efter databeskyttelsesloven eller forordningens regler, har ret til erstatning efter forordningens artikel 82. 

Strafansvar ifølge databeskyttelsesloven

Medmindre højere straf kan gives efter øvrig lovgivning, straffes med bøde eller fængsel indtil 6 måneder, den der overtræder visse bestemmelser i databeskyttelsesloven eller forordningen, herunder reglerne om lovlig behandlingshjemmel, reglerne om databehandleraftale, reglerne om direkte markedsføring m.v.

Det er derfor vigtigt, at din virksomhed kommer i compliance med reglerne hurtigst muligt. 

Konklusion

Databeskyttelsesloven er vedtaget, og du skal derfor være opmærksom på de regler, som er indeholdt i loven, og som supplerer databeskyttelsesforordningen. 

Det er blandt andet vigtigt, at du er opmærksom på, at man i Danmark har besluttet, at afdøde personer i 10 år efter deres død, er beskyttet af reglerne i loven og forordningen. 

Derudover bør du få dig et godt overblik over, hvornår og under hvilke betingelser, du må behandle almindelige personoplysninger og følsomme oplysninger på dine kunder, medarbejdere, leverandører m.v. 

Vær tillige opmærksom på reglerne omkring direkte markedsføring, idet du som virksomhed ikke må videregive oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil.

Hos SelskabsAdvokaterne ApS er vi specialiseret i reglerne omkring håndtering af personoplysninger, herunder hvordan din virksomhed skal håndtere reglerne. Du er altid velkommen til at kontakte os for en uformel drøftelse omkring GDPR og personoplysninger. Vi kan kontaktes på tlf. 45 23 00 10 eller mailadressen: advokat@selskabsadvokaterne.dk