Hvad er databeskyttelsesloven
Databeskyttelsesloven er dansk lov nummer 502 fra 2018. Den blev vedtaget, da EU's databeskyttelsesforordning, GDPR, trådte i kraft samme år.
GDPR gælder direkte i alle EU-lande. Danmark behøvede altså ikke skrive GDPR ind i dansk lov. Men EU gav medlemslandene lov til at fastsætte nationale særregler på en række punkter. Databeskyttelsesloven er Danmarks udnyttelse af den mulighed.
Loven afløste den gamle persondatalov. Du støder stadig på "persondataloven" i ældre tekster og vilkår. Det er den forkerte betegnelse i dag. Reglerne er databeskyttelsesloven og GDPR.
Loven regulerer blandt andet:
- Behandling af CPR-numre
- Aldersgrænsen for børns samtykke til informationssamfundstjenester
- Regler for offentlige myndigheders databehandling
- Straf og bødeniveau ved overtrædelser i Danmark
- Undtagelser for presse, forskning og statistik
Uden databeskyttelsesloven ville flere af disse områder stå uklare eller helt uregulerede i Danmark. Loven fylder hullerne, som GDPR bevidst overlod til de enkelte lande.
Sådan spiller den sammen med GDPR
Tænk på GDPR som fundamentet og databeskyttelsesloven som den danske tilbygning ovenpå.
GDPR fastlægger de grundlæggende principper: hvad en personoplysning er, hvornår behandling er lovlig, og hvilke rettigheder du har som borger. Det gælder ens i hele EU, uanset om du bor i Danmark, Tyskland eller Portugal.
Databeskyttelsesloven justerer og supplerer på et par konkrete danske punkter. Tre eksempler:
CPR-numre. GDPR nævner ikke nationale ID-numre specifikt og overlader reguleringen til medlemslandene. Databeskyttelsesloven fastsætter, hvornår virksomheder og myndigheder må behandle dit CPR-nummer, typisk kun når det er nødvendigt for en entydig identifikation, og loven kræver det.
Samtykkealder. GDPR sætter som udgangspunkt 16 år som alder for gyldigt samtykke til digitale tjenester, men lader lande sænke grænsen ned til 13 år. Danmark har valgt 13 år som samtykkealder.
Offentlige myndigheder. Databeskyttelsesloven indeholder særregler for, hvordan kommuner, styrelser og andre offentlige myndigheder må behandle oplysninger, herunder videregivelse mellem myndigheder og brug til forskning og statistik.
Praktisk betyder det: når en virksomhed eller myndighed behandler dine data forkert, kan overtrædelsen ramme enten GDPR's generelle regler eller databeskyttelseslovens danske tilføjelser, ofte begge dele på samme tid.
Hvad den betyder for dig
For dig som privatperson ændrer databeskyttelsesloven ikke ved dine grundlæggende rettigheder. Dem har du efter GDPR, uanset om du bor i Danmark eller et andet EU-land. Se den fulde oversigt i dine rettigheder efter GDPR.
Det, loven gør, er at give reglerne dansk kontekst:
- Dit CPR-nummer har et ekstra beskyttelseslag ud over almindelige personoplysninger.
- Klager over overtrædelser i Danmark behandles af Datatilsynet, som fører tilsyn med både GDPR og databeskyttelsesloven.
- Bøder til danske virksomheder udmåles efter principper, som databeskyttelsesloven er med til at fastlægge.
I praksis vil du sjældent skulle skelne skarpt mellem, om en rettighed kommer fra GDPR eller databeskyttelsesloven. Retten til indsigt og sletning gælder uanset. Det vigtige er, at du ved, hvor du kan søge hjælp: Datatilsynet (datatilsynet.dk) er den danske tilsynsmyndighed, og den fulde lovtekst kan du altid slå op på retsinformation.dk.
Privio og databeskyttelsesloven
Privio bruger både GDPR og databeskyttelsesloven som grundlag, når vi sender sletteanmodninger på dine vegne til danske databrokers, teleselskaber og registre. Vi scanner dit digitale fodaftryk og viser dig, hvor dine data ligger, før du beslutter dig for næste skridt.
Vi kan ikke garantere, at alle data bliver slettet. Nogle registre er lovpligtige, CVR, tingbogen og BBR, for eksempel, og skal blive stående, uanset hvad GDPR og databeskyttelsesloven ellers siger om din ret til sletning.