Lovguiden Logo

Command Palette

Search for a command to run...

Hvordan påvirker EUs GDPR og dansk persondatalovgivning hinanden?

Samspillet mellem GDPR og dansk persondatalovgivning

GDPR og dansk persondatalovgivning fungerer i et tæt samspil med hinanden, hvor GDPR danner den overordnede retlige ramme, mens dansk lovgivning supplerer denne inden for de rammer, som GDPR tillader. Her er en gennemgang af deres relation:

GDPR's direkte anvendelighed i Danmark

GDPR (Databeskyttelsesforordningen) har som EU-forordning direkte virkning i Danmark, hvilket betyder, at den automatisk gælder uden behov for implementering i national ret. Databeskyttelsesloven § 1, stk. 1 fastslår dette ved at anføre, at loven "supplerer og gennemfører Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger".

Databeskyttelseslovens supplerende rolle

Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) fungerer som den primære nationale lovgivning, der supplerer GDPR i Danmark. Loven udnytter det nationale råderum, som GDPR giver medlemsstaterne til at fastsætte mere specifikke regler på visse områder.

Forarbejder til Databeskyttelsesloven § 1: "Det foreslås i stk. 3, at regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i denne lov."

Hierarkisk forhold mellem GDPR og dansk lovgivning

Det hierarkiske forhold mellem reglerne er som følger:

  1. GDPR har forrang over dansk ret, og national lovgivning kan ikke begrænse eller udvide GDPR's anvendelsesområde ud over, hvad forordningen selv tillader.

  2. Sektorspecifik lovgivning med særregler om databeskyttelse har forrang frem for Databeskyttelsesloven, forudsat at disse regler ligger inden for GDPR's rammer, jf. Databeskyttelsesloven § 1, stk. 3.

  3. Databeskyttelsesloven finder anvendelse, hvor der ikke er vedtaget særlovgivning.

Nationalt råderum i GDPR

GDPR giver medlemsstaterne et vist råderum til at fastsætte nationale regler på specifikke områder, herunder:

  1. Behandling af følsomme personoplysninger - Danmark har i Databeskyttelsesloven § 7 fastsat supplerende bestemmelser om behandling af følsomme oplysninger.

  2. Behandling af oplysninger om strafbare forhold - Det er specifikt reguleret i Databeskyttelsesloven § 8.

  3. Behandling af personnummer - Reguleret særskilt i Databeskyttelsesloven § 11.

  4. Undtagelser for ytringsfrihed og informationsfrihed - Databeskyttelsesloven § 3, stk. 4-8 indeholder særlige danske undtagelser vedrørende mediernes behandling af personoplysninger.

Særlige danske regler og undtagelser

Danmark har vedtaget en række særlige regler og undtagelser:

  1. Afdøde personer - I modsætning til GDPR, som kun beskytter levende personer, beskytter Databeskyttelsesloven § 2, stk. 5 også personoplysninger om afdøde personer i 10 år efter deres død.

  2. TV-overvågning - Databeskyttelsesloven § 2, stk. 4 omfatter specifikt tv-overvågning uanset om der foregår elektronisk databehandling.

  3. Offentlige myndigheders behandling - Der er særlige regler i Databeskyttelsesloven §§ 5-6 om offentlige myndigheders behandling af personoplysninger.

Retshåndhævelsesloven - et separat regelsæt

Retshåndhævelsesloven § 1 gælder for politi, anklagemyndighed og domstolenes behandling af personoplysninger i strafferetsplejens område og er dermed uden for GDPR's anvendelsesområde.

Som det fremgår af forarbejderne til Retshåndhævelsesloven § 1: "Uden for lovens anvendelsesområde falder de administrative sager, som behandles af de kompetente myndigheder, herunder politiets behandling af klager over politiets dispositioner uden for strafferetsplejen... Behandling af personoplysninger i sådanne sager vil i stedet være omfattet af de generelle regler i persondataloven og – fra den 25. maj 2018 – databeskyttelsesforordningen."

Praktiske konsekvenser

I praksis betyder dette samspil, at virksomheder, organisationer og myndigheder i Danmark skal overholde:

  1. GDPR's grundlæggende principper og regler
  2. Databeskyttelseslovens supplerende bestemmelser
  3. Eventuel sektorspecifik lovgivning (f.eks. sundhedsloven for sundhedsdata)

Datatilsynet er den centrale tilsynsmyndighed, der fører tilsyn med overholdelsen af både GDPR og Databeskyttelsesloven i Danmark, mens Domstolsstyrelsen fører tilsyn med domstolenes behandling af personoplysninger.

Ved modstrid mellem reglerne har GDPR altid forrang, og dansk lovgivning skal fortolkes i overensstemmelse med GDPR.

Vil du starte en ny samtale? Klik her for at gå til chat.