Forholdet mellem EU's GDPR og dansk persondatalovgivning

EU's databeskyttelsesforordning (GDPR) og den danske databeskyttelseslovgivning fungerer i et tæt samspil, hvor de danske regler supplerer EU-forordningen. Her er en gennemgang af dette forhold:

Det grundlæggende retslige hierarki

GDPR har siden den 25. maj 2018 haft direkte virkning i Danmark, hvilket betyder, at forordningen gælder umiddelbart uden behov for implementering i dansk ret. Dette fremgår af Databeskyttelsesloven § 1, stk. 1:

"Loven supplerer og gennemfører Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), jf. bilag 1 til denne lov."

Databeskyttelsesloven som national særlovgivning

Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) fungerer som et supplement til GDPR og indeholder bestemmelser på områder, hvor GDPR specifikt tillader national særregulering. I Databeskyttelsesloven § 1, stk. 3 fastslås det, at:

"Regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i denne lov."

Dette betyder, at dansk speciallovgivning om databeskyttelse kan gælde, så længe den holder sig inden for de rammer, som GDPR har fastsat.

Nationale råderum i GDPR

GDPR giver eksplicit medlemsstaterne mulighed for at vedtage nationale særregler på en række områder. Som det fremgår af forarbejderne til databeskyttelsesloven:

"Databeskyttelsesforordningen har direkte virkning i Danmark, hvilket bl.a. betyder, at forordningen har samme virkning som en lov i Danmark. Forordningen giver dog inden for en lang række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen."

Særlige danske regler inden for GDPR's rammer

Danmark har udnyttet det nationale råderum til at fastsætte særregler om blandt andet:

1. Behandling af personoplysninger om strafbare forhold i Databeskyttelsesloven § 8
2. Behandling af personnummer i Databeskyttelsesloven § 11
3. Begrænsninger af de registreredes rettigheder i særlige tilfælde

Retshåndhævelsesloven - et særskilt regelsæt

Ved siden af databeskyttelsesloven findes Retshåndhævelsesloven, der regulerer behandlingen af personoplysninger på det strafferetlige område. Loven gennemfører EU's retshåndhævelsesdirektiv og gælder for:

"politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger [...] når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner..."

Fælles grundlæggende principper

Både GDPR og dansk databeskyttelseslovgivning bygger på en række grundlæggende principper:

1. Lovlighed, rimelighed og gennemsigtighed - Behandling skal være lovlig, rimelig og gennemsigtig for den registrerede
2. Formålsbegrænsning - Oplysninger må kun indsamles til udtrykkeligt angivne formål
3. Dataminimering - Kun nødvendige oplysninger må behandles
4. Rigtighed - Oplysninger skal være korrekte og ajourførte
5. Opbevaringsbegrænsning - Oplysninger må ikke opbevares længere end nødvendigt
6. Integritet og fortrolighed - Oplysninger skal beskyttes mod uautoriseret adgang

Som det bemærkes i Vejledning om lovkvalitet: "Disse principper gælder altid, uanset om behandlingen af personoplysninger er reguleret et andet sted."

Tilsyn og håndhævelse

Databeskyttelsesloven § 27 fastslår, at Datatilsynet er den danske tilsynsmyndighed for både GDPR og databeskyttelsesloven, mens Domstolsstyrelsen fører tilsyn med domstolenes behandling af personoplysninger.

I praksis betyder dette, at Datatilsynet repræsenterer Danmark i Det Europæiske Databeskyttelsesråd og er ansvarlig for at sikre en ensartet anvendelse af databeskyttelsesreglerne i Danmark i overensstemmelse med EU-praksis.

Konklusion

GDPR og den danske databeskyttelseslovgivning fungerer som et samlet regelsæt, hvor GDPR sætter de overordnede rammer, mens databeskyttelsesloven og anden særlovgivning udfylder rammerne på områder, hvor GDPR giver mulighed for nationale særregler. Dette sikrer både en harmoniseret beskyttelse af personoplysninger på tværs af EU og mulighed for at tage højde for særlige danske forhold.