Nyt om databeskyttelsesforordningen

Dato 24 nov. 2017
Download PDF version PDF

 

Den nye databeskyttelsesforordning træder i kraft den 25. maj 2018, og virksomheder og myndigheder står derfor foran et stort compliance-arbejde frem til denne dato. Selvom de nye regler bliver implementeret på forordningsniveau, er der flere steder åbnet op for, at de enkelte medlemsstater kan fastsætte nationale særregler på visse områder. Folketinget er fortsat i gang med at fastsætte de nationale særregler. Ligeledes har Datatilsynet et stort arbejde foran sig med at udstede vejledninger og udtalelser for at hjælpe med at fastlægge, hvad der forventes af den enkelte virksomhed for overholdelse af persondataforordningen. Den nye forordning betyder samtidig, at Datatilsynet får en langt større tilsynsopgave end tidligere, hvilket tillige betyder brug af væsentligt flere ressourcer og beføjelser end førhen.

 

Forordningen har fået stor opmærksomhed særligt det seneste år, især på grund af de nye historisk høje bødeniveauer på op til EUR 20.000.000 eller 4 % af global omsætning.  De nye store bødeniveauer skal udgøre et økonomisk incitament til, at virksomhederne overholder reglerne. Højeste bøde givet i Danmarks efter de nuværende regler er kr. 25.000 i 2001 til dagsbladet Aktuelt for brud på den nuværende Persondatalovs § 36, hvor personer har ret til at gøre indsigelse imod at få deres oplysninger videregivet til andre.

 

Nationale særregler

Regeringen fremsatte den 25. oktober 2017 et nyt lovforslag vedrørende de nationale særregler.

 

Følgende vil to af de væsentligste punkter i lovforslaget blive gennemgået: (i) bøder til offentlige myndigheder, samt (ii) Datatilsynets myndighedsbeføjelser.

 

Bøder til offentlige myndigheder

Et af de områder, hvor forordningen har givet plads til nationale særregler, er, hvorvidt myndigheder også skal kunne idømmes bøder for overtrædelse af persondataforordningen. I den nuværende Persondatalov og i de indledende høringer på den nye persondataforordning har offentlige myndigheder været fritaget for bøder og kan i praksis ”gratis” sløse med borgeres persondata. Datatilsynet har udtrykt frustration over, at syv ud af otte offentlige myndigheder har omfattende eller meget omfattende mangler ved håndtering af følsomme persondata. Dette fremgår af en stikprøvekontrol offentliggjort af Datatilsynet på deres hjemmeside i november måned 2016.

 

Datatilsynet udtaler, at det ikke kommer som en overraskelse, at datasikkerheden ikke bliver taget alvorligt. Myndighederne har intet incitament til at prioritere datasikkerheden af borgernes persondata, fordi de med de nuværende regler ikke kan blive pålagt straf for overtrædelse. I sidste ende går dette ud over borgernes tillid til myndighederne og kan medføre en begrænsning i borgernes accept af fremtidens digitale behandling af persondataoplysninger.     

 

Ligeledes har det været stærkt kritiseret politisk, da Justitsministeriet i et svar til Folketinget i januar 2014 kom med en udtalelse om, at der ikke var nogen grund til, at myndigheder skal underlægges samme sanktionsniveau for manglende overholdelse af reglerne som private virksomheder. Justitsminister Søren Pape Poulsen har siden ændret mening og udtaler i en kommentar til Politikken af 12. oktober 2017, at det er en alvorlig sag ikke at overholde persondataforordningen, og at sanktionsniveauet derfor skal vær ens for private virksomheder og offentlige myndigheder.

 

I lovforslaget af 25. oktober 2017 har Regeringen derfor foreslået, at myndigheder skal kunne idømmes en bøde på op til kr. 16 millioner for strafsanktionerede databrud. Forslaget har skabt en vidtgående debat, da kommuner, regioner og offentlige myndigheder mener, at bødestraffe til myndigheder vil gå ud over velfærden for borgerne. Omvendt udtaler professor i persondataret Peter Blume i Politikken den 12. oktober 2017, at der intet sagligt argument er for, at offentlige myndigheder skal behandles lempeligere end private virksomheder.

 

Såfremt det nye lovforslag bliver vedtaget, vil sanktionsniveauet øjensynligt give offentlige myndigheder større økonomiske incitamenter til at tage databeskyttelsen og borgernes retssikkerhed mere alvorligt.

 

Datatilsynets myndighedsbeføjelser

Det er Datatilsynet, der skal føre tilsyn, samt bedømme, om der har været strafsanktionerede databrud. Forordningen lægger op til, at nationale tilsynsmyndigheder skal udstede administrative bøder ved databrud. At give administrative myndigheder magten til at udstede bøder er dog grundlovsstridigt i Danmark grundet princippet om magtens tredeling, da denne beføjelse ligger hos domstolene. Det medfører, at Datatilsynet skal igennem den sædvanlige procedure, ved at indgive en politianmeldelse og da overdrage sagen til Anklagemyndigheden, som herefter skal føre sagen ved domstolene. En sådan proces medfører både længere sagsbehandlingstid og fratager Datatilsynet den i forordningen givne kompetence til at pålægge administrative bøder.  

 

Ulempen er også bemærket af Professor Peter Blume, der i Politikken den 15. juli 2017 udtaler, at Datatilsynet er mere kompetent til at vurdere graden af et databrud, da Datatilsynet har de nødvendige IT-eksperter og jurister, som arbejder med persondata på daglig basis. Det vil derfor være mere sagligt, at bødeforlægget kommer fra Datatilsynet og ikke Anklagemyndigheden.

 

I det nye lovforslag har Regeringen derfor lagt op til, at Datatilsynet i mindre ukomplicerede sager, hvor straffen forventes at være bødeniveau, skal kunne udstede bødeforlæg med forslag om, at sagen kan afgøres uden domstolsbehandling. Sådanne sager vil f.eks. kunne forekomme ved virksomheders utilsigtede databrud. Når Datatilsynet har udstedt bøden, skal virksomheden gives en frist til at anerkende deres overtrædelse og betale bøden uden yderligere retsforfølgning. Sagen kan derfor afsluttes uden den mere langsommelige proces forbi domstolene. 

 

Advokat og chefkonsulent Martin Jørgensen fra Dansk Erhverv udtaler i Politikken i samme artikel den 15. juli, at Dansk Erhverv er bekymret for forslaget om bødebeføjelse til Datatilsynet. På baggrund af forordningens markante forhøjelser i bødeniveauet, bør domstolene fastlægge en praksis for størrelsen på bødeniveauerne, forinden Datatilsynet får administrative beføjelser til at udstede bøder.

 

Selvom det principielt er grundlovsstridigt at give offentlige myndigheder beføjelse til at udstede administrative bødeforlæg uden om domstolene, har Justitsministeriet tidligere ikke været afvisende over for at tildele en sådan beføjelse, idet Justitsministeriet den 1. juli 2017 gav Forbrugerombudsmanden lignende strafbeføjelser.

 

Forbrugerombudsmanden har fået beføjelse til, at udstede bøder i mindre ukomplicerede sager, som eksempelvis spam og uønskede reklamer. Forbrugerombudsmandens chefkonsulent Uffe Jespersen udtaler i Politikken af 15. juli 2017, at han i den forbindelse oplever, at den nye beføjelse gør sagsbehandlingstiden kortere samt optimerer sagsgangen, således at myndighedens ressourcer kan fordeles mere effektivt.

 

Konklusion

Åbningen for nationale særregler giver således plads til, at forordningen tilpasses de nuværende nationale processer, som de enkelte lande i EU vurderer, er bedst for dem. Det forventes, at der frem til 25. maj 2017 fortsat vil udestå mange spørgsmål om fortolkning af forordningen, idet der løbende udstedes vejledninger og lovforslag, som formentligt vil blive tilpasset væsentligt, når forordningens anvendelse bliver testet i praksis. Regeringen og Datatilsynet står derfor fortsat over for en stor opgave i at fastlægge de endelige rammer for den danske implementering af persondataforordningen frem til dens ikrafttræden den 25. maj 2018.

 

 

Hvis du har spørgsmål eller ønsker yderligere information om ovenstående, er du velkommen til at kontakte partner Pernille Nørkær (pno@mwblaw.dk), advokatfuldmægtig Camilla Pedersen (cpe@mwblaw.dk) eller trainee Gülsah Nielsen (gbn@mwblaw.dk).


Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.