Persondataansvar - en retlig analyse.
Oversat titel
Liability In Processing Personal Data, A Legal Analysis.
Forfatter
Amby, Anne Marie Orry
Semester
4. semester
Uddannelse
Udgivelsesår
2018
Resumé
Specialet undersøger, hvilke ændringer EU’s databeskyttelsesforordning (GDPR) og den danske databeskyttelseslov (DBL) medfører for civil- og strafferetligt ansvar ved behandling af personoplysninger i dansk ret, sammenlignet med den tidligere persondatalov (PDL). Med en retsdogmatisk og komparativ metode analyseres lovgivning, forarbejder og praksis (hvor der endnu ikke foreligger praksis efter DBL), med fokus på at identificere centrale forskydninger i ansvar og sanktioner. Historisk bar den dataansvarlige hovedansvaret, men ansvaret udvides nu til også at omfatte databehandlere med selvstændigt civil- og strafferetligt ansvar. På erstatningsområdet er ansvaret fortsat begrænset af kravet om økonomisk tab, selv om mange krænkelser er af immateriel karakter, og betingelserne er ikke grundlæggende ændret, hvorfor erstatning i praksis fortsat følger almindelige erstatningsretlige principper. Strafferetligt reguleres området både af straffeloven og DBL: DBL udvider ansvaret til offentlige myndigheder i den egentlige forvaltning og ligestiller private og offentlige på ansvarsgrundlaget, dog med lavere bødeniveau og loft for offentlige. DBL indfører også en risikobaseret tilgang, forlænger forældelsesfristen til 5 år og forhøjer den maksimale frihedsstraf til 6 måneder. I strafferetlig dogmatik anses privatlivskrænkelser overvejende som civilretlige, og straffereglerne har primært præventiv funktion; historisk lave sanktioner forventes at blive kalibreret opad under DBL. Der er endnu ikke fastlagt et nationalt bødeniveau, og domstolene må sikre effektive, proportionale og præventive sanktioner i overensstemmelse med GDPR, der kræver administrative bøder med meget høje maksimummer (op til 20 mio. EUR eller 4 % af omsætningen).
This thesis examines how the EU General Data Protection Regulation (GDPR) and the Danish Data Protection Act (DBL) change civil and criminal liability for the processing of personal data in Danish law, compared to the former Personal Data Act (PDL). Using a legal-dogmatic and comparative approach, it analyzes legislation, preparatory works and case law (with no post-DBL practice yet), to identify key shifts in responsibility and sanctions. Historically, the controller bore the primary responsibility; under GDPR/DBL liability is extended to processors, who now carry independent civil and criminal liability. In civil law, liability remains constrained by the requirement to prove economic loss, even though many infringements are non-pecuniary in nature; the conditions have not fundamentally changed, so compensation in practice follows general tort principles. Criminal liability is governed by both the Penal Code and DBL: DBL extends liability to public authorities engaged in actual administration and aligns the basis of liability for private and public actors, while providing lower fine levels and a cap for public authorities. DBL also introduces a risk-based approach, prolongs the limitation period to five years, and raises the maximum custodial sentence to six months. In criminal-law doctrine, privacy violations are largely treated as civil matters and penal rules serve primarily a preventive purpose; historically low sanctions are expected to be recalibrated under DBL. No national sanction levels have been set yet; courts must ensure effective, proportionate and dissuasive penalties in line with GDPR’s requirement of administrative fines with very high maxima (up to EUR 20 million or 4% of turnover).
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]