For at besvare dit spørgsmål om forholdet mellem EU's GDPR og dansk persondatalovgivning, skal jeg undersøge begge retsområder. Lad mig søge efter relevante informationer.Nu vil jeg søge efter oplysninger om dansk persondatalovgivning for at se, hvordan den forholder sig til EU's GDPR.# Forholdet mellem EU's GDPR og dansk persondatalovgivning

EU's GDPR (Generel Forordning om Databeskyttelse) og dansk persondatalovgivning påvirker hinanden på en række områder. Her er en gennemgang af deres indbyrdes forhold:

1. GDPR som retsgrundlag i Danmark

GDPR trådte i kraft den 25. maj 2018 og er direkte anvendelig i alle EU-medlemsstater, herunder Danmark. Som en forordning har GDPR direkte virkning i Danmark uden at skulle implementeres gennem national lovgivning.

Den primære danske lovgivning på området er Databeskyttelsesloven, som supplerer GDPR's bestemmelser på områder, hvor GDPR giver medlemsstaterne mulighed for at fastsætte nationale regler.

I Databeskyttelsesloven § 1 fastlægges lovens formål:

"Loven supplerer og gennemfører Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger."

2. National implementering af GDPR

Danmark har valgt at implementere GDPR gennem en kombination af ny lovgivning og opdatering af eksisterende regler:

Databeskyttelsesloven

Databeskyttelsesloven er den primære lov, der supplerer GDPR i Danmark. Loven indeholder bestemmelser på områder, hvor GDPR tillader national lovgivning, fx:

1. Databeskyttelsesloven § 3 - Lovens territoriale anvendelsesområde
2. Databeskyttelsesloven § 4 - Forholdet til retten til informations- og ytringsfriheden
3. Databeskyttelsesloven § 8 - Behandling af oplysninger om strafbare forhold

Forarbejder til Databeskyttelsesloven

I Forarbejder til Databeskyttelsesloven § 1 fremgår det:

"Bestemmelsen fastslår, at formålet med loven er at supplere og gennemføre databeskyttelsesforordningen. Det fremgår således klart af lovteksten, at lovforslaget skal anvendes i tillæg til databeskyttelsesforordningen."

Dette understreger, at Databeskyttelsesloven ikke er en fuldstændig implementation af databeskyttelsesreglerne, men et supplement til den direkte anvendelige GDPR.

3. Nationale særregler inden for GDPR's rammer

GDPR giver mulighed for, at medlemsstaterne kan fastsætte særregler på flere områder. Danmark har udnyttet dette på følgende områder:

Aldersgrænse for samtykke fra børn

I Databeskyttelsesloven § 6 har Danmark fastsat aldersgrænsen for samtykke:

"I forbindelse med udbud af informationssamfundstjenester direkte til børn fastsættes aldersgrænsen som nævnt i databeskyttelsesforordningens artikel 8, stk. 1, til 13 år i Danmark."

Dette er et eksempel på, hvordan Danmark har udnyttet muligheden i GDPR art. 8, stk. 1 for at fastsætte en aldergrænse mellem 13 og 16 år.

Behandling af følsomme oplysninger

Databeskyttelsesloven § 7 og § 8 indeholder regler om behandling af følsomme personoplysninger og oplysninger om strafbare forhold, hvor Danmark har valgt at implementere nationale særregler inden for GDPR's rammer.

Nationale identifikationsnumre (CPR-nummer)

Databeskyttelsesloven § 11 indeholder specifikke regler om behandling af CPR-numre, hvilket er et område, hvor GDPR i artikel 87 udtrykkeligt tillader medlemsstaterne at fastsætte særlige betingelser.

4. Datatilsynets rolle

Datatilsynet er den danske tilsynsmyndighed, der har ansvaret for at overvåge overholdelsen af både GDPR og den danske databeskyttelseslov:

I Databeskyttelsesloven § 27 fremgår det:

"Datatilsynet, der består af et råd og et sekretariat, fører i overensstemmelse med databeskyttelsesforordningens kapitel VI tilsyn med enhver behandling, der omfattes af denne lov, databeskyttelsesforordningen og anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger..."

5. Sanktionsmuligheder

Danmark har implementeret særlige regler for bøder til offentlige myndigheder:

Databeskyttelsesloven § 41 bestemmer, at offentlige myndigheder kan straffes med bøde for overtrædelse af databeskyttelsesforordningen.

I Databeskyttelsesloven § 42 er der fastsat nogle særlige strafbestemmelser.

6. Forholdet mellem sektorspecifik lovgivning og GDPR

Der findes en række særlige danske love og bekendtgørelser, der indeholder specifikke regler om behandling af personoplysninger inden for bestemte sektorer. Disse gælder sammen med GDPR:

Bekendtgørelse om behandling af personoplysninger i forbindelse med Forsvarets internationale operative virke § 1 er et eksempel på sektorspecifik regulering, der findes ved siden af GDPR og Databeskyttelsesloven.

7. Undtagelser

GDPR tillader undtagelser for visse aktiviteter, og Danmark har implementeret flere af disse:

1. Databeskyttelsesloven § 3, stk. 2 indeholder en undtagelse for visse aktiviteter i forbindelse med den frie meningsdannelse.

2. Databeskyttelsesloven § 3, stk. 4 undtager behandling af personoplysninger, der foretages til journalistiske formål eller til akademiske, kunstneriske eller litterære udtryksformer fra de fleste af GDPR's regler.

Konklusion

Forholdet mellem EU's GDPR og dansk persondatalovgivning kan karakteriseres som følger:

1. Direkte virkning: GDPR gælder direkte i Danmark og er det primære retsgrundlag for databeskyttelse.

2. Supplerende lovgivning: Databeskyttelsesloven supplerer GDPR på områder, hvor forordningen giver medlemsstaterne mulighed for at fastsætte nationale regler.

3. Nationale særregler: Danmark har udnyttet mulighederne i GDPR til at fastsætte særregler om blandt andet børns samtykke, behandling af særlige kategorier af personoplysninger, og behandling af CPR-numre.

4. Sektorspecifik regulering: GDPR og Databeskyttelsesloven suppleres af sektorspecifik regulering inden for områder som sundhed, forskning, og kommunikation.

5. Fælles tilsyn: Datatilsynet fører tilsyn med overholdelsen af både GDPR og den danske databeskyttelseslovgivning.

Samlet set fungerer GDPR som det grundlæggende regelsæt for databeskyttelse i Danmark, mens dansk national lovgivning supplerer forordningen og udfylder de områder, hvor GDPR giver medlemsstaterne et nationalt råderum.