Hvad er forskellen på persondataforordningen og databeskyttelsesloven og hvad har det med GDPR at gøre? Forstå forskellen på 5 minutter.

30. april 2019 Artikel

I perioden op til og efter Persondataforordningen trådte i kraft 25. maj 2018, har den været tildelt massiv bevågenhed. De nye EU-regler skulle være et udtryk for at paradigmeskifte i den persondataretlige regulering, og virksomheder i alle størrelser fik travlt med at rydde ud i indbakker og makulerer gamle HR-dokumenter. Men hvad er Persondataforordningen egentlig for en størrelse, og hvorfor er der nogle, som er begyndt at snakke om Databeskyttelsesloven?

Persondataforordningen er den danske oversættelse af ”General Data Protection Regulation” (forkortet GDPR), som efter en såkaldt ”sun-rise”-periode endeligt trådte i kraft d. 25 maj 2018.

En stille start - to års introduktion

Fra EU’s side var man udmærket klar over de implikationer, som forordningen ville medføre på tværs af unionen, man valgte derfor lidt utraditionelt, at GDPR på trods af sin vedtagelse ikke skulle sanktioneres med det samme, men at virksomheder og myndigheder skulle tillades en tilvænningsperiode på 2 år. I praksis må det dog konkluderes, at denne ”bløde” start har fungeret som en sovepude, og man er i særligt i små og mellemstore virksomheder blevet taget godt og grundigt på sengen - helt selvforskyldt naturligvis.

Hvordan har området ellers været reguleret?

Persondataforordningen går i dansk ret ind og erstatter den hidtidigt gældende Persondatalov. Persondataloven er udtryk for, at man i Danmark har implementeret det såkaldte Persondatadirektiv fra 1995. Uden at blive alt for teknisk er den store forskel på netop et direktiv og en forordning, at EU når det udsteder et Direktiv giver de enkelte medlemslande mulighed for selv at implementere de EU-retlige regler igennem egne formulerede nationale regler. Man får populært sagt en ramme, som medlemsstaten i mere eller mindre grad kan fylde ud. Omvendt når EU vedtager en forordning kan de enkelte medlemsstater (herunder Danmark) ikke selv regulerer området. EU har altså besluttet, at reglerne på tværs af hele det indre marked skal være ens både i mening og formulering. Når en forordning træder i kraft, virker den altså direkte, og erstatter som udgangspunkt nationale regler på området – som i Danmark: Persondataloven.

Resultatet: Et kompromis

Da Persondataforordningen er blevet til i EU, er den som alt andet lovgivning udtryk for mange politiske kompromiser. Idet en forordning som udgangspunkt går ind og fastsætter regler, som er direkte gældende i de enkelte medlemsstater, kan det være svært at nå til fuldkommen politisk enighed. Der sker således ofte det, at de enkelte lande igennem regler tildeles et vidst ”spillerum”, som de selv kan regulere. Et konkret eksempel er Danmarks holdning til nationale identifikationsnumre (CPR-numre). I Syd- og Østeuropa har sådanne numre ikke samme betydning som i Danmark og i Forordningen er de derfor som udgangspunkt opfattet som en ”almindelig personoplysning”. En koalition af lande med Danmark i spidsen fik dog i Forordningen indføjet Art. 87, hvorefter Medlemsstaterne selv kan fastsætte betingelser for behandling af nationale identifikationsnumre. Sådan en indrømmelse – populært sagt ”et hul i osten” er der en hel række af – f.eks. noget helt så lavpraktisk, som hvor gammel man skal være før man ikke længere er et ”barn” og dermed ikke underlagt en særlig beskyttelsesværdi.

De fleste af disse huller har man i Danmark forsøgt at udfylde igennem Databeskyttelsesloven. Databeskyttelsesloven indeholder 48 paragraffer, som supplerer Persondataforordningen på visse vigtige områder. Databeskyttelsesloven er dog kun mulig at opretholde, fordi der er en direkte bemyndigelse til det i Persondataforordningen.

Hvorfor skal man understøtte sit arbejde med et system?

I Compliancelog arbejder vi aktivt med at sikrer, at vores brugere tager de gode valg og dokumenterer deres processer. Vi hjælper løbende med at udarbejde materiale til større ensartede grupper af virksomheder, der ønsker en simpel og vedvarende måde, at kunne bevise, de skridt, som faktisk foretages. Vi opdaterer løbende indholdet i systemet, så det er up-to-date med relevant lovgivning – ikke kun Forordninger og love, men også udtalelser fra Datatilsynet og tendenser i afgørelser, så du som kunde er stillet bedst muligt.

Hvis du vil have et uforpligtende tilbud eller snak om din GDPR-situation er du altid velkommen til at tage kontakt.