Databeskyttelsesloven Afsnit VII

Denne konsoliderede version af databeskyttelsesloven er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)

Lov nr. 502 af 23. maj 2018,
jf. lovbekendtgørelse nr. 289 af 08. marts 2024

Kapitel 12 1 Retsmidler, ansvar og sanktioner
§ 39

Den registrerede eller dennes repræsentant kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den registrerede, jf. databeskyttelsesforordningens artikel 77.

Stk. 2 Tilsynsmyndighedernes afgørelser, undladelser af at behandle en klage fra en registreret eller manglende underretning kan af den registrerede eller dennes repræsentant indbringes for domstolene i den borgerlige retsplejes former, jf. databeskyttelsesforordningens artikel 78.

Stk. 3 Den registrerede eller dennes repræsentant kan indbringe spørgsmål om dataansvarliges og databehandleres overholdelse af denne lov for domstolene i den borgerlige retsplejes former, jf. databeskyttelsesforordningens artikel 79.

§ 40

Enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid med denne lov og databeskyttelsesforordningen, har ret til erstatning efter databeskyttelsesforordningens artikel 82.

§ 41

Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 6 måneder den, der overtræder bestemmelserne om

  • 1) den dataansvarliges og databehandlerens forpligtelser i henhold til databeskyttelsesforordningens artikel 8, 11, 25-39, 42 eller 43,

  • 2) certificeringsorganets forpligtelser i henhold til databeskyttelsesforordningens artikel 42 eller 43,

  • 3) kontrolorganets forpligtelser i henhold til databeskyttelsesforordningens artikel 41, stk. 4,

  • 4) de grundlæggende principper for behandling, herunder betingelserne for samtykke, i databeskyttelsesforordningens artikel 5-7 og 9,

  • 5) de registreredes rettigheder i henhold til databeskyttelsesforordningen artikel 12-22 eller

  • 6) overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til databeskyttelsesforordningens artikel 44-49.

Stk. 2 På samme måde straffes den, der

  • 1) overtræder § 5, stk. 1 og 2, § 6, § 7, stk. 1-4, § 8, § 9, stk. 1 og 2, § 10, stk. 1-4, §§ 11 og 12, § 13, § 20, § 21 eller § 26, stk. 1 og 5,

  • 2) overtræder databeskyttelsesforordningens artikel 10, medmindre forholdet er omfattet af § 8,

  • 3) hindrer tilsynsmyndigheden i at få adgang efter artikel 58, stk. 1,

  • 4) undlader at efterkomme et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til databeskyttelsesforordningens artikel 58, stk. 2,

  • 5) undlader at efterkomme et påbud fra tilsynsmyndigheden som omhandlet i databeskyttelsesforordningens artikel 58, stk. 2,

  • 6) undlader at efterkomme Datatilsynets krav efter § 29, stk. 1, eller § 32, stk. 1, 2. pkt., jf. § 29, stk. 1,

  • 7) hindrer Datatilsynet i at få adgang efter § 29, stk. 2, eller § 32, stk. 1, 2. pkt., jf. § 29, stk. 2, eller

  • 8) i øvrigt undlader at efterkomme Datatilsynets afgørelser efter loven eller tilsidesætter Datatilsynets vilkår for en tilladelse i medfør af loven.

Stk. 3 Databeskyttelsesforordningens artikel 83, stk. 2, skal følges ved pålæggelse af straf efter stk. 1 og 2.

Stk. 4 Den, der overtræder § 24, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.

Stk. 5 I regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller fængsel indtil 6 måneder.

Stk. 6 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. Uanset straffelovens § 27, stk. 2, kan offentlige myndigheder og institutioner m.v., som er omfattet af forvaltningslovens § 1, stk. 1 eller 2, straffes i anledning af overtrædelser, der begås ved udøvelse af virksomhed, der ikke svarer til eller kan sidestilles med virksomhed udøvet af private.

Stk. 7 Forældelsesfristen for overtrædelse af databeskyttelsesforordningen, denne lov eller regler udstedt i medfør af loven er 5 år.

§ 42

Skønnes en overtrædelse af denne lov eller databeskyttelsesforordningen eller regler, der er udstedt i medfør af loven, ikke at ville medføre højere straf end bøde, kan Datatilsynet i et bødeforelæg tilkendegive, at sagen kan afgøres uden retssag, hvis den, der har begået overtrædelsen, erklærer sig skyldig i overtrædelsen og erklærer sig rede til inden en nærmere angivet frist, der efter begæring kan forlænges, at betale en i bødeforelægget angivet bøde.

Stk. 2 Retsplejelovens regler om krav til indholdet af et anklageskrift og om, at en sigtet ikke er forpligtet til at udtale sig, finder tilsvarende anvendelse på bødeforelæg.

Stk. 3 Vedtages bøden, bortfalder videre forfølgning.

§ 43

Den, der driver eller er beskæftiget med virksomhed som nævnt i § 26 eller som privat databehandler opbevarer personoplysninger, kan ved dom for strafbart forhold frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for misbrug. I øvrigt finder straffelovens § 79, stk. 3 og 4, anvendelse.

Kapitel 13 1 Afsluttende bestemmelser
§ 44

Vedkommende minister kan i særlige tilfælde og inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger efter forhandling med justitsministeren fastsætte nærmere regler om behandlinger, som udføres for den offentlige forvaltning.

Stk. 2 Justitsministeren kan inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger fastsætte nærmere regler om bestemte typer af behandlinger, som udføres for private dataansvarlige, herunder at bestemte typer oplysninger ikke må behandles.

§ 45

Justitsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Den Europæiske Union udstedte beslutninger, som træffes med henblik på gennemførelse af databeskyttelsesforordningen, eller regler, som er nødvendige for at anvende de af Den Europæiske Union udstedte retsakter på forordningens område.

§ 46

Loven træder i kraft den 25. maj 2018.

Stk. 2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger ophæves.

§ 47

For behandlinger, hvortil der inden lovens ikrafttræden er opnået tilladelse efter § 50, stk. 1, nr. 2, 3 og 5, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger som ændret senest ved lov nr. 426 af 3. maj 2017, gælder tilladelsen efter denne lovs ikrafttræden, indtil den erstattes af en ny tilladelse efter lovens § 26, stk. 1.

§ 48

Loven gælder ikke for Færøerne og Grønland.