Persondataloven
Grundlæggende information om persondataloven
Persondataloven er en historisk og forældet lov om behandling af persondataoplysninger, som blev erstattet af databeskyttelsesforordningen (GDPR) i 2018. Læs mere om de nye krav i forordningen her.
Persondataloven var en dansk lov om persondatabeskyttelse, som blev erstattet af EU’s Databeskyttelsesforordning (GDPR) i år 2018. EU’sforudgående regler var et direktiv, som ikke var juridisk bindende for medlemslandene. Derfor var det op til de enkelte lande at vedtage love. I Danmarkhavde vi Persondataloven (Lov om behandling af personoplysninger), som blevvedtaget i år 2000.
Ved at lave en forordning, der gælder i hele EU, har man sikret ensartede love i hele unionen. Hermed bliver det mindre bureaukratisk for virksomheder, der arbejder på tværs af medlemslandende. Det er ligeledes blevet mere gennemskueligt for forbrugeren at regne ud, hvordan ens oplysninger bruges.
Persondataloven og Databeskyttelsesforordningen
Persondataloven og databeskyttelsesforordningen indeholdermange af de samme elementer. De baserer sig nemlig begge på en række principper for god databehandlingsskik, omend GDPR er en del striksere.
Et godt eksempel er de strengere krav til indhentning af samtykke. Et samtykke skal nu gives aktivt, hvormed man ikke længere kan bruge førafkrydsede felter. Der er endvidere kommet øgede krav til de oplysninger, man skal levere, når man indsamler persondata. Når man indhenter samtykke til at behandle følsomme data, skal man desuden have udtrykkeligt samtykke. Der må med andre ord ikke være nogen som helst tvivl om, at samtykkegiveren har forstået, hvordan de indhentede oplysninger bruges.
Der er ligeledes kommet en række nye rettigheder. EU har understreget retten til at blive glemt og retten til indsigt, men som noget nyt har man introduceret retten til dataportabilitet. Dermed kan man nu kræve sine dataudleveret i et maskinlæsbart format, så de kan overføres til en ny dataansvarlig eller databehandler. Eksempelvis mellem to banker. Før forordningen kunne man også godt anmode om at få sine data slettet viaDatatilsynet, men i dag skal det kunne gøres direkte til virksomheden.
Privacy by design er endnu et nyt element. Her påbydesvirksomheder at indtænke persondatasikkerhed i designprocessen, når man udvikler nye digitale produkter. Kravene hertil er dog relativt løstdefinerede.
Dokumentationskravene er det væsentligste nye. Man skal nu have databehandleraftaler på plads, vedtagne bestyrelsesbeslutninger og udarbejdedefortegnelser over behandlingsaktiviteter. Helt grundlæggende skal man bevise, at man arbejder systematisk og organiseret med at beskytte data. Det data man besidder, skal have et formål og behandles i overensstemmelse dermed.
%201.svg)
